te acabo de poner el ejemplo arriba.
No se puede eliminar el "TO user@" porque en los DBMS no hay permisos genéricos fuera de la implementación de roles, que en MySQL no tiene.
En cuanto a lo que tu puedes hacer, todo usuario tiene una restricción universal: No se puede otorgar más permisos de los que uno mismo tiene.
Eso quiere decir que si usas un usuario que puede crear usuarios (permiso especial), si no tienes permisos EXECUTE, no lo puedes dar, por ejemplo.
Para mayor precisión, consultar el manual de referencia: 13.5.1.3. Sintaxis de GRANT y REVOKE