home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / faqs / comp / answers / privacy / ssn-faq < prev   
Encoding:
Internet Message Format  |  1997-10-18  |  36.8 KB
  1. Path: senator-bedfellow.mit.edu!faqserv
  2. From: Chris Hibbert <hibbert@netcom.com>
  3. Newsgroups: alt.privacy,misc.legal,alt.society.civil-liberty,misc.answers,comp.answers,alt.answers,news.answers
  4. Subject: Social Security Number FAQ
  5. Supersedes: <privacy/ssn-faq_875789459@rtfm.mit.edu>
  6. Followup-To: alt.privacy
  7. Date: 17 Oct 1997 10:16:52 GMT
  8. Organization: Computer Professionals for Social Responsibility
  9. Lines: 702
  10. Approved: news-answers-request@MIT.Edu
  11. Expires: 14 Nov 1997 10:16:41 GMT
  12. Message-ID: <privacy/ssn-faq_877083401@rtfm.mit.edu>
  13. NNTP-Posting-Host: penguin-lust.mit.edu
  14. Summary: What to do when someone asks for your SSN.  Who can insist on
  15.     getting it from you, who you can refuse to give it to.  Legal
  16.     references and citations to other sources.
  17. Keywords: Social Security Number, SSN, privacy
  18. X-Last-Updated: 1997/04/07
  19. Originator: faqserv@penguin-lust.MIT.EDU
  20. Xref: senator-bedfellow.mit.edu alt.privacy:49995 misc.legal:239386 alt.society.civil-liberty:83543 misc.answers:6645 comp.answers:28558 alt.answers:29649 news.answers:114667
  21.  
  22. Archive-name: privacy/ssn-faq
  23. Last-modified: April 5, 1997
  24. Last-Modification: Dependents' SSNs must be reported to IRS
  25. URL1: http://www.cpsr.org/cpsr/privacy/ssn/ssn.faq.html
  26. URL2: ftp://rtfm.mit.edu/pub/usenet-by-hierarchy/news/answers/privacy/ssn-faq
  27.  
  28. -----BEGIN PGP SIGNED MESSAGE-----
  29.  
  30.  
  31. If you have comments on the following, please send them to me at
  32. hibbert@netcom.com.  A description of how to retrieve the most recent
  33. version of this and related documents appears at the end.
  34.  
  35.  
  36.  
  37.           What to do when they ask for your Social Security Number
  38.  
  39.                               by Chris Hibbert
  40.  
  41.                            Computer Professionals
  42.                          for Social Responsibility
  43.  
  44.  
  45. Many people are concerned about the number of organizations asking for
  46. their Social Security Numbers.  They worry about invasions of privacy and
  47. the oppressive feeling of being treated as just a number.  Unfortunately,
  48. I can't offer any hope about the dehumanizing effects of identifying you
  49. with your numbers.  I *can* try to help you keep your Social Security
  50. Number from being used as a tool in the invasion of your privacy.
  51.  
  52. The advice in this FAQ deals primarily with the Social Security Number
  53. used in the US, though the privacy considerations are equally applicable
  54. in many other countries.  The laws explained here are US laws.  The advice
  55. about dealing with bureaucrats and clerks is universal.
  56.  
  57.     The Privacy Act of 1974
  58.  
  59. The Privacy Act of 1974 (Pub. L. 93-579, in section 7), which is the
  60. primary law affecting the use of SSNs, requires that any federal, state,
  61. or local government agency that requests your Social Security Number has
  62. to tell you four things:
  63.  
  64. 1:  Whether disclosure of your Social Security Number is required or
  65.     optional,
  66.  
  67. 2:  What statute or other authority they have for asking for your number,
  68.  
  69. 3:  How your Social Security Number will be used if you give it to them, and
  70.  
  71. 4:  The consequences of failure to provide an SSN.
  72.  
  73. In addition, the Act says that only Federal law can make use of the Social
  74. Security Number mandatory (at 5 USC 552a note).  So anytime you're dealing
  75. with a government institution and you're asked for your Social Security
  76. Number, look for the Privacy Act Statement.  If there isn't one, complain
  77. and don't give your number.  If the statement is present, read it.  Once
  78. you've read the explanation of whether the number is optional or required,
  79. and the consequences of refusing to give your number, you'll be able to
  80. decide for yourself whether to fill in the number.
  81.  
  82. There are several kinds of governmental organizations (see the list in the
  83. "Short History" section below) that usually have authority to request your
  84. number, but they are all required to provide the Privacy Act Statement
  85. described above.  The only time you should be willing to give your number
  86. without reading that notice is when the organization you are dealing with
  87. is not a part of the government.
  88.  
  89.              Why You May Want to Resist Requests for Your SSN
  90.  
  91. When you give out your number, you are providing access to information
  92. about yourself.  You're providing access to information that you don't
  93. have the ability or the legal right to correct or rebut.  You provide
  94. access to data that is irrelevant to most transactions but that will
  95. occasionally trigger prejudice.  Worst of all, since you provided the key,
  96. (and did so "voluntarily") all the info discovered under your number will
  97. be presumed to be true, about you, and relevant.
  98.  
  99. A major problem with the use of SSNs as identifiers is that it makes it
  100. hard to control access to personal information.  Even assuming you want
  101. someone to be able to find out some things about you, there's no reason to
  102. believe that you want to make all records concerning yourself available.
  103. When multiple record systems are all keyed by the same identifier, and all
  104. are intended to be easily accessible to some users, it becomes difficult
  105. to allow someone access to some of the information about a person while
  106. restricting them to specific topics.
  107.  
  108. Unfortunately, far too many organizations assume that anyone who presents
  109. your SSN must be you.  When more than one person uses the same number, it
  110. clouds up the records.  If someone intended to hide their activities, it's
  111. likely that it'll look bad on whichever record it shows up on.  When it
  112. happens accidentally, it can be unexpected, embarrassing, or worse.  How
  113. do you prove that you weren't the one using your number when the record
  114. was made?
  115.  
  116. Simson Garfinkel put it very well in an article for CACM's "Inside Risks"
  117. column in October, 1995.  His article started with the paragraph
  118.  
  119.     The problem with Social Security Numbers today is that some
  120.     organizations are using these ubiquitous numbers for
  121.     identification, others are using them for authentication, and
  122.     still others are using them for both.
  123.  
  124. Simson went on to explain how the two uses are incompatible.  I recommend
  125. the article.
  126.  
  127.  
  128.                 What You Can Do to Protect Your Number
  129.  
  130. It's not a good idea to carry your SSN card with you (or other documents
  131. that contain your SSN).  If you should lose your wallet or purse, your SSN
  132. would make it easier for a thief to apply for credit in your name or
  133. otherwise fraudulently use your number.  Some states that normally use
  134. SSNs as the drivers license number will give you a different number if you
  135. ask.  If your health insurance plan uses your SSN for an ID number, it's
  136. probably on your insurance card.  If you are unable to get the insurance
  137. plan to change your number, you may want to photocopy your card with your
  138. SSN covered and carry the copy.  You can then give a health care provider
  139. your number separately.
  140.  
  141. Here are some suggestions for negotiating with people who don't want to
  142. give you what you want.  They work whether the problem has to do with SSNs
  143. (your number is added to a database without your consent, someone refuses
  144. to give you service without getting your number, etc.) or is any other
  145. problem with a clerk or bureaucrat who doesn't want to do things any way
  146. other than what works for 99% of the people they see.  Start politely,
  147. explaining your position and expecting them to understand and cooperate.
  148. If that doesn't work, there are several more things to try:
  149.  
  150. 1: Talk to people higher up in the organization.  This often works
  151.         simply because the organization has a standard way of dealing
  152.         with requests not to use the SSN, and the first person you deal
  153.         with just hasn't been around long enough to know what it is.
  154.  
  155. 2: Enlist the aid of your employer.  You have to decide whether talking
  156.         to someone in personnel, and possibly trying to change
  157.         corporate policy is going to get back to your supervisor and
  158.         affect your job.  The people in the personnel and benefits
  159.         departments often carry a lot of weight when dealing with health
  160.         insurance companies.
  161.  
  162. 3: Threaten to complain to a consumer affairs bureau.  Most newspapers
  163.         can get a quick response.  Ask for their "Action Line" or
  164.         equivalent.  If you're dealing with a local government agency,
  165.         look in the state or local government section of the phone book
  166.         under "consumer affairs."  If it's a federal agency, your
  167.         congress member may be able to help.
  168.  
  169. 4: Insist that they document a corporate policy requiring the number.
  170.         When someone can't find a written policy or doesn't want to
  171.         push hard enough to get it, they'll often realize that they
  172.         don't know what the policy is, and they've just been following
  173.         tradition.
  174.  
  175. 5: Ask what they need it for and suggest alternatives.  If you're
  176.         talking to someone who has some independence, and they'd like
  177.         to help, they will sometimes admit that they know the reason
  178.         the company wants it, and you can satisfy that requirement a
  179.         different way.
  180.  
  181. 6: Tell them you'll take your business elsewhere (and follow through if
  182.         they don't cooperate.)
  183.  
  184. 7: If it's a case where you've gotten service already, but someone
  185.         insists that you have to provide your number in order to have a
  186.         continuing relationship, you can choose to ignore the request
  187.         in hopes that they'll forget or find another solution before
  188.         you get tired of the interruption.
  189.  
  190.  
  191.     How To Find Out If Someone Is Using Your Number
  192.  
  193. There are two good places to look to find out if someone else is using
  194. your number: the Social Security Administration's (SSA) database, and your
  195. credit report.  If anyone else used your number when applying for a job,
  196. their earnings will appear under your name in the SSA's files.  If someone
  197. uses your SSN (or name and address) to apply for credit, it will show up
  198. in the files of the big three credit reporting agencies.
  199.  
  200. The Social Security Administration recommends that you request a copy of
  201. your file from them every few years to make sure that your records are
  202. correct (your income and "contributions" are being recorded for you, and
  203. no one else's are.)  As a result of a recent court case, the SSA has
  204. agreed to accept corrections of errors when there isn't any contradictory
  205. evidence, SSA has records for the year before or after the error, and the
  206. claimed earnings are consistent with earlier and later wages.  (San Jose
  207. Mercury News, 5/14, 1992 p 6A) Call the Social Security Administration at
  208. (800) 772-1213 and ask for Form 7004, (Request for Earnings and Benefit
  209. Estimate Statement.)  The forms are available online at the SSA's website:
  210. http://www.ssa.gov/online/forms.html.  You can also pick up a copy at any
  211. office of the SSA.
  212.  
  213. Information about the credit reporting agencies is available in the Junk
  214. Mail FAQ, and various other privacy-related FAQs.  Try looking at
  215. http://www.cpsr.org/dox/program/privacy/privacy.html
  216.  
  217.  
  218.            Choosing A Key For New Databases
  219.  
  220. Most organizations that have studied the issue have concluded that a
  221. simple combination of Name, Address, and Phone number is usually
  222. sufficient.  In cases where you are likely to be dealing with several
  223. members of the same family (and thus Jr. and Sr. might have matching
  224. records), you can add Date of Birth.  If the database saves an old address
  225. and the date of the move, that will usually be sufficient to identify
  226. particular clients uniquely.
  227.  
  228. If you're designing a database or have an existing one that currently uses
  229. SSNs and want to use numbers other than SSNs, it's useful to have the
  230. identifiers use some pattern other than 9 digits.  You can make them
  231. longer or shorter than that, or include letters.  That way it won't be
  232. mistaken for an SSN.
  233.  
  234. Robert Ellis Smith, the publisher of the Privacy Journal, recently asked
  235. people to suggest alternatives to the SSN for indexing databases.  He
  236. published some of the answers in Privacy Journal, and in the Computers
  237. Privacy Digest, volume 9, #13 available at:
  238. gopher://miller.cs.uwm.edu:70/.  (This is a gopher refernce, you have to
  239. navigate manually to "Computers & Privacy Digest", then "Volume 9", then
  240. "Number 13".) Other excerpts are available at EPIC.
  241. (http://www.epic.org/privacy/ssn/alternatives_ssn.html)
  242.  
  243. Some of the qualities that are (often) useful in a key and that people
  244. think they are getting from the SSN are uniqueness, universality,
  245. security, and identification.  When designing a database, it is
  246. instructive to consider which of these qualities are actually important in
  247. your application; many designers assume unwisely that they are all useful
  248. for every application, when in fact each is occasionally a drawback.  The
  249. SSN provides none of them, so designs predicated on the assumption that it
  250. does provide them will fail in a variety of ways.
  251.  
  252.  
  253.  Uniqueness
  254.  
  255. Many people assume that Social Security Numbers are unique.  They were
  256. intended by the Social Security Administration to be unique, but the SSA
  257. didn't take sufficient precautions to ensure that it would be so.  They
  258. have several times given a previously issued number to someone with the
  259. same name and birth date as the original recipient, thinking it was the
  260. same person asking again.  There are a few numbers that were used by
  261. thousands of people because they were on sample cards shipped in wallets
  262. by their manufacturers.  (One is given below.)
  263.  
  264. The passage of the Immigration reform law in 1986 caused an increase in
  265. the duplicate use of SSNs.  Since the SSN is now required for employment,
  266. illegal immigrants must find a valid name/SSN pair in order to fool the
  267. INS and IRS long enough to collect a paycheck.  Using the SSN when you
  268. can't cross-check your database with the SSA means you can count on
  269. getting some false numbers mixed in with the good ones.
  270.  
  271.  Universality
  272.  
  273. Not everyone has a Social Security Number.  Foreigners are the primary
  274. exception (though the SSA will now assign a number to a legal immigrant
  275. without connecting that to the authority to work), but many children don't
  276. get SSNs until they're in school (and some not until they get jobs).  They
  277. were only designed to be able to cover people who were eligible for Social
  278. Security.  If your database will keep records on organizations as well as
  279. individuals, you should realize that they're not covered either.
  280.  
  281.  Identification
  282.  
  283. Few people ever ask to see an SSN card; they believe whatever you say.
  284. The ability to recite nine digits provides little evidence that you're
  285. associated with the number in anyone else's database.
  286.  
  287. There's little reason to carry your card with you anyway.  It isn't a good
  288. form of identification, and if your wallet is lost or stolen, it provides
  289. another way for the thief to hurt you.
  290.  
  291.  Security
  292.  
  293. Older cards are not at all forgery-resistant, even if anyone did ever ask
  294. for it.  (Recently-issued cards are more resistant to forgery.)  The
  295. numbers don't have any redundancy (no check-digits) so any 9-digit number
  296. in the range of numbers that have been issued is a valid number.  It's
  297. relatively easy to write down the number incorrectly, and there's no way
  298. to tell that you've done so.
  299.  
  300. In most cases, there is no cross-checking that a number is valid.  Credit
  301. card and checking account numbers are checked against a database almost
  302. every time they are used.  If you write down someone's phone number
  303. incorrectly, you find out the first time you try to use it.  An incorrect
  304. SSN might go unnoticed for years in some databases.  In others it will
  305. likely be caught at tax time, but could cause a variety of headaches.
  306.  
  307.  
  308.                             Short History
  309.  
  310. Social Security numbers were introduced by the Social Security Act of
  311. 1935.  They were originally intended to be used only by the social
  312. security program.  In 1943 Roosevelt signed Executive Order 9397 which
  313. required federal agencies to use the number when creating new
  314. record-keeping systems.  In 1961 the IRS began to use it as a taxpayer ID
  315. number.  The Privacy Act of 1974 required authorization for government
  316. agencies to use SSNs in their data bases and required disclosures
  317. (detailed below) when government agencies request the number.  Agencies
  318. which were already using SSN as an identifier before January 1, 1975 were
  319. allowed to continue using it.  The Tax Reform Act of 1976 gave authority
  320. to state or local tax, welfare, driver's license, or motor vehicle
  321. registration authorities to use the number in order to establish
  322. identities.  The Privacy Protection Study Commission of 1977 recommended
  323. that EO9397 be revoked after some agencies referred to it as their
  324. authorization to use SSNs.  It hasn't been revoked, but no one seems to
  325. have made new uses of the SSN recently and cited EO9397 as their sole
  326. authority, either.
  327.  
  328. Several states use the SSN as a driver's license number, while others
  329. record it on applications and store it in their database.  Some states
  330. that routinely use it on the license will make up another number if you
  331. insist.  According to the terms of the Privacy Act, any that have a space
  332. for it on the application forms should have a disclosure notice.  Many
  333. don't, and until someone takes them to court, they aren't likely to
  334. change.
  335.  
  336.  
  337.                 Dealing with Government Organizations
  338.  
  339. Surprisingly enough, government agencies are reasonably easy to deal with;
  340. private organizations are much more troublesome.  Few agencies are allowed
  341. to request the number, and all agences are required to give a disclosure
  342. complete enough that you can find the law that empowers them.  There are
  343. no comparable Federal laws either restricting the uses non-government
  344. organizations can make of the SSN, or compelling them to tell you anything
  345. about their plans.
  346.  
  347. Some states have recently enacted regulations on collection of SSNs by
  348. private entities.  (Usually in cases of consumers making payments with
  349. checks or credit cards.)  With private institutions, your main recourse is
  350. refusing to do business with anyone whose terms you don't like.  They, in
  351. turn, are allowed to refuse to deal with you on those terms.
  352.  
  353.  Public Schools
  354.  
  355. Public schools that accept federal funds are subject to the Family
  356. Educational Rights and Privacy Act of 1974
  357. http://www.cpsr.org/cpsr/privacy/law/education_records_privacy.txt
  358. (It's also known as FERPA or the "Buckley Amendment") which prohibits
  359. them from giving out personal information on students without permission.
  360. There is an exception for directory information, which is limited to
  361. names, addresses, and phone numbers, and another exception for release of
  362. information to the parents of minors.  There is no exception for Social
  363. Security Numbers, so covered Universities aren't allowed to reveal
  364. students' numbers without their permission.  In addition, state
  365. universities are bound by the requirements of the Privacy Act, (so they
  366. have to give a Privacy Act notice if they ask for a SSN).  If they make
  367. uses of the SSN which aren't covered by the disclosure they are in
  368. violation.
  369.  
  370. The National Coalition of Advocates for Students (100 Boylston Street,
  371. Suite 737, Boston, MA 02116, 617-357-8507) has some literature on what
  372. information a school can ask you for based on a Supreme Court decision
  373. [Plyler v. Doe [457 U.S. 202 (1982)] that held that requiring SSNs
  374. from all students would discriminate illegally against undocumented
  375. students.  Even if you are a citizen, this ruling prevents schools
  376. from requiring your Social Security Number.
  377.  
  378.  
  379.  US Passports
  380.  
  381. Some forms for applying for US Passports (DSP-11 12/87) request a Social
  382. Security Number, but don't give enough information in their Privacy Act
  383. notice to verify that the Passport office has the authority to request it.
  384. There is a reference to "Federal Tax Law" and a misquotation of Section
  385. 6039E of the 1986 Internal Revenue Code, claiming that that section
  386. requires that you provide your name, mailing address, date of birth, and
  387. Social Security Number.  The referenced section only requires TIN (SSN),
  388. and it only requires that it be sent to the IRS (not to the Passport
  389. office).  It appears that when you apply for a passport, you can refuse to
  390. reveal your SSN to the passport office, and instead mail a notice to the
  391. IRS, give only your SSN (other identifying info optional) and notify them
  392. that you are applying for a passport.  Copies (in postscript) of the
  393. letter that was used by one contributor can be found at
  394. ftp://ftp.cpsr.org/cpsr/privacy/ssn/passport.ps.Z.  Other readers have
  395. also used this technique successfully.
  396.  
  397. I've received several reports that a new printed version of the passport
  398. application fixes the problems described above.  Apparently, these new
  399. applications ask for SSN, but state that failure to provide it isn't
  400. grounds to deny a passport.  It warns that the SSN is used to verify the
  401. other information on the form, and processing of the application may be
  402. delayed if the number is not provided.  Recent trips to my local Post
  403. Office showed on the old forms.  There's another new version (DSP-11 1-94)
  404. available now at the State department's web site
  405. http://travel.state.gov/passport_services.html.  It has a different notice
  406. that implies (in the same roundabout way) that the SSN is required by the
  407. abovementioned laws, and says passports will be refused if the number is
  408. not included.
  409.  
  410.  Requirement for Disclosing Employee's Children's SSNs Repealed
  411.  
  412. The Omnibus Budget Reconciliation Act of 1993 required all employers to
  413. collect social security numbers for everyone covered by their health
  414. plans, including all dependents.  After not being pursued actively by the
  415. government for a few years, legislation (PL 104-226) was passed in
  416. October, 1996 repealing the Medicare and Medicaid Coverage Data Bank.
  417.  
  418.  Children
  419.  
  420. The Family Support Act of 1988 (Pub. L. 100-485) requires states to
  421. require parents to give their Social Security Numbers in order to get a
  422. birth certificate issued for a newborn.  The law allows the requirement to
  423. be waived for "good cause", but there's no indication of what may qualify.
  424.  
  425. Section 1615 of the Small Business Job Protection Act of 1996
  426. strengthened the requirement for taxpayers to report SSNs for
  427. dependents over one year of age when they are claimed as a deduction.
  428. (H.R.3448, became PL104-188 8/20/96.
  429. <http://thomas.loc.gov/cgi-bin/bdquery/z?d104:h.r.03448:>) The new law
  430. allows the IRS to treat listing a dependent without including an SSN
  431. as if it were an arithmetic error.  This apparently means that the
  432. taxpayer isn't allowed to petition the tax court.
  433.  
  434.                            Private Organizations
  435.  
  436. The guidelines for dealing with non-governmental institutions are much
  437. more tenuous than those for government departments.  Most of the time
  438. private organizations that request your Social Security Number can get by
  439. quite well without your number, and if you can find the right person to
  440. negotiate with, they'll willingly admit it.  The problem is finding that
  441. right person.  The person behind the counter is often told no more than
  442. "get the customers to fill out the form completely."
  443.  
  444. Most of the time, you can convince them to use some other number.  Usually
  445. the simplest way to refuse to give your Social Security Number is simply
  446. to leave the appropriate space blank.  One of the times when this isn't a
  447. strong enough statement of your desire to conceal your number is when
  448. dealing with institutions which have direct contact with your employer.
  449. Most employers have no policy against revealing your Social Security
  450. Number; they apparently believe that it must be an unintentional slip when
  451. an employee doesn't provide an SSN to everyone who asks.
  452.  
  453.     Employers
  454.  
  455. Employers are required by the IRS to get the SSNs of people they hire.
  456. They often ask for it during the interview process, but there are good
  457. reasons to refuse if you can afford to argue with the potential employer.
  458. Some of them use the SSN to check credit records, to look for criminal
  459. history, and otherwise to delve into your past in areas you might object
  460. to.  Tell them you'll give them your SSN when you accept their offer.
  461. They have no legitimate use for it before then.
  462.  
  463. At one point I needed a security badge from a company that wasn't my
  464. employer (my employer was contracting to the host.)  The host company used
  465. SSNs to do background checks on applicants for security badges.  I asked
  466. if there was a way I could keep my SSN out of their database, and we
  467. worked things out so I gave my number directly to the person who ran the
  468. background check, and he used it for that and then destroyed it.  I may
  469. have been the only person working at this very large company who didn't
  470. have an SSN on file.
  471.  
  472.     Utilities
  473.  
  474. Public utilities (gas, electric, phone, etc.) are considered to be private
  475. organizations under the laws regulating SSNs.  Most of the time they ask
  476. for an SSN, and aren't prohibited from asking for it, but they'll usually
  477. relent if you insist.  See the other suggestions above under "What you can
  478. do to protect your number" for more ideas.
  479.  
  480.  Banks
  481.  
  482. Banks and various others are required by the IRS to report the SSNs of
  483. account holders to whom they pay interest.  If you don't tell them your
  484. number you will probably either be refused an account or be charged a
  485. penalty such as withholding of taxes on your interest.  Most banks will
  486. refuse to open safe deposit boxes without a SSN, though there is no direct
  487. governmental requirement that they collect it.  One correspondent reported
  488. that he was able to open a non-interest bearing account at a US bank by
  489. presenting a passport and international driver's license.  (This
  490. correspondent implied that it was a US passport.  You can get an
  491. international driver's license at AAA.)
  492.  
  493. Many banks send the names, addresses, and SSNs of people whose accounts
  494. have been closed for cause to a company called ChexSystem.  ChexSystem
  495. keeps a database of people whose accounts have been terminated for fraud
  496. or chronic insufficient funds in the past 5 years.  ChexSystems apparently
  497. doesn't believe they are covered by the Fair Credit Reporting Act, as I
  498. had earlier reported.  A few people have reported complete intransigence
  499. on the part of Chexsystems, while others (who apparently received
  500. cooperation from their banks or credit unions) have been able to get
  501. Chexsystems to add annotations to their records that are accessible with
  502. assistance from the consumer.  You can send a letter to ChexSystems
  503. (Consumer Relations, 12005 Ford Road, Suite 650, Dallas, TX, 75234) if you
  504. need to deal with them.
  505.  
  506. Many Banks, Brokerages, and other financial institutions have started
  507. implementing automated systems to let you check your balance.  All too
  508. often, they are using SSNs as the PIN that lets you get access to your
  509. personal account information.  If your bank does this, write them a letter
  510. pointing out how common it is for the people with whom you have financial
  511. business to know your SSN.  Ask them to change your PIN, and if you feel
  512. like doing a good deed, ask them to stop using the SSN as a default
  513. identifier for their other customers.  Some customers will believe that
  514. there's some security in it, and be insufficiently protective of their
  515. account numbers.  Nearly every financial institution I have asked has been
  516. willing to use a password I supplied.  (Fidelity was the exception.  I no
  517. longer have any funds there.)  I don't know why they don't advertise this
  518. rather than relying on the SSN.
  519.  
  520. Sometimes banks provide for a customer-supplied password, but are
  521. reluctant to advertise it.  The only way to find out is to ask if they'll
  522. let you provide a password.  (This is reportedly true of Citibank Visa,
  523. for instance.  They ask for a phone number but are willing to accept any
  524. password.)
  525.  
  526. When buying (or refinancing) a house, you have to give your SSN, because
  527. the bank is required to report the interest you pay.  Most banks will now
  528. ask for your Social Security Number on the Deed of Trust.  This is because
  529. the Federal National Mortgage Association wants it.  The fine print in
  530. their regulation admits that some consumers won't want to give their
  531. number, and allows banks to leave it out when pressed.  [It first
  532. recommends getting it on the loan note, but then admits that it's already
  533. on various other forms that are a required part of the package, so they
  534. already know it.  The Deed is a public document, so there are good reasons
  535. to refuse to put it there, especially since all parties to the agreement
  536. already have access to your number.]
  537.  
  538.  Insurers, Hospitals, Doctors
  539.  
  540. No laws require private medical service providers to use your Social
  541. Security Number as an ID number.  They often use it because it's
  542. convenient or because your employer uses it to identify employees to its
  543. group's health plan.  In the latter case, you have to get your employer to
  544. make an exception to their standard practices.  Often, the people who work
  545. in personnel assume that the employer or insurance company requires use of
  546. the SSN when that's not really the case.  When a previous employer asked
  547. for my SSN for an insurance form, I asked them to find out if they had to
  548. use it.  After a week they reported that the insurance company had gone
  549. along with my request and told me what number to use.
  550.  
  551. Insurance companies often require the SSN for underwriting purposes, but
  552. don't usually use it for underwriting personal property or personal auto
  553. insurance policies.  You may be able to get them to leave the number out
  554. of their data base, even if they want to use it when deciding whether to
  555. cover you.  They may call every few years to ask for it again.
  556.  
  557. Insurance companies share information with one another that they have
  558. collected while evaluating applications for life, health, or disability
  559. insurance.  They do this by sending the information to an organization
  560. called the Medical Information Bureau.  The information they share
  561. includes test results and brief descriptions of conditions relevant to
  562. health or longevity.  MIB rules prohibit the reporting of claims
  563. information.  The MIB doesn't use the SSN as an identifier in their files,
  564. and doesn't report SSNs when providing reports.  You can get a copy of
  565. your MIB file by writing to Medical Information Bureau, P.O. Box 105,
  566. Essex Station, Boston, MA 02112.  Their phone number is (617)426-3660.
  567.  
  568. If an insurance agent asks for your Social Security Number in order to
  569. "check your credit", point out that the contract is invalid if your check
  570. bounces or your payment is late.  Insurance is always prepaid, so they
  571. don't need to know what your credit is like, just whether your check
  572. cleared.
  573.  
  574.  Blood banks
  575.  
  576. Blood banks also ask for the number but are willing to do without if
  577. pressed on the issue.  After I asked politely and persistently, the
  578. (non-Red Cross) blood bank I go to agreed that they didn't have any use
  579. for the number.  They've now expunged my SSN from their database, and they
  580. seem to have taught their receptionists not to request the number.  I've
  581. gotten one report that some branches of the Red Cross will issue a "file
  582. number" in lieu of your SSN if you insist.  It's probably the case that
  583. not all branches (and especially not all receptionists) know about this
  584. possibility, so it will pay to be persistent.
  585.  
  586. Blood banks have changed their policies back and forth a few times in the
  587. last several years.  When the AIDS epidemic first hit, they started using
  588. SSNs to identify all donors, so someone who was identified as HIV-positive
  589. at one blood bank wouldn't be able to contaminate the blood supply by
  590. donating at a different site.  For a few years, they were a little looser,
  591. and though they usually asked for SSNs, some would allow you to donate if
  592. you provided proof of your identity.  (I showed a Driver's license, but
  593. didn't let them copy down the number.)  Now the Federal Government has
  594. declared blood banks to be "manufacturers" of a medical product, and
  595. imposed various Quality Control processes on them.
  596.  
  597. The Blood bank I go to now asks for SSNs, and if you refuse, allows you to
  598. give a Driver's License number.  I balked at that, since I hadn't had to
  599. give it before.  They let me donate, but while I was eating cookies, the
  600. director of Quality Control came down and talked to me.  After a little
  601. bit of discussion, she was satisfied to have me pick an ID number that I
  602. promised to remember and provide when I visisted again.  So, once again,
  603. if you want to protect your SSN and your privacy, it pays to push back
  604. when they ask.
  605.  
  606.  Landlords
  607.  
  608. Landlords often request SSNs from prospective tenants.  There are two
  609. things they usually want it for: a credit check, and in some parts of the
  610. country, landlords apparently have access to a database of "bad tenants"
  611. as reported by other landlords.  There don't seem to be any laws
  612. restricting the use of these kinds of databases, which leaves renters in a
  613. precarious situation.  If a landlord makes a mistake, or a prior tenant
  614. gave an incorrect number, the prospective tenant may be unable to find out
  615. why no landlord will rent to him or her.
  616.  
  617. The applicant can refuse to supply the number, but in a seller's market,
  618. the landlord often has many other applicants to choose from.  There aren't
  619. many avenues of recourse, except to politely inquire if the landlord will
  620. accept a letter of reference from a previous landlord or if there are
  621. other ways that you can demonstrate your creditworthiness.  The tenant is
  622. almost powerless if the landlord doesn't want to go along.
  623.  
  624.  
  625.     Using a False Social Security Number
  626.  
  627.  
  628. If someone absolutely insists on getting your Social Security Number, you
  629. may want to give a fake number.  I have never needed to give a fake
  630. number; at least one of the remedies described above has always worked for
  631. me.  There *are* legal penalties for providing a false number when you
  632. expect to gain some benefit from it.  For example, a federal court of
  633. appeals ruled that using a false SSN to get a Driver's License violates
  634. federal law.
  635.  
  636. Making a 9-digit number up at random is a bad idea, as it may coincide
  637. with someone's real number and cause them some amount of grief.  It's
  638. better to use a number like 078-05-1120, which was printed on "sample"
  639. cards inserted in thousands of new wallets sold in the 40's and 50's.
  640. It's been used so widely that both the IRS and SSA recognize it
  641. immediately as bogus, while most clerks haven't heard of it.  There were
  642. at least 40 different people in the Selective Service database at one
  643. point who gave this number as their SSN.  The Social Security
  644. Administration recommends that people showing Social Security cards in
  645. advertisements use numbers in the range 987-65-4320 through 987-65-4329.
  646.  
  647. There are several patterns that have never been assigned, and which
  648. therefore don't conflict with anyone's real number.  They include numbers
  649. with any field all zeroes, and numbers with a first digit of 8 or 9.  For
  650. more details on the structure of SSNs and how they are assigned, see
  651. http://www.cpsr.org/cpsr/privacy/ssn/ssn.structure.html.
  652.  
  653. Giving a number with an unused pattern rather than your own number isn't
  654. very useful if there's anything serious at stake since it's likely to be
  655. noticed.
  656.  
  657.  
  658.  
  659.                        Collecting SSNs yourself
  660.  
  661. There aren't any federal laws that explicitly forbid the collection of
  662. SSNs.  However, there is a body of law, intended to prohibit the misuse of
  663. credit cards, that is written vaguely enough that it could be interpreted
  664. to cover personal collections of SSNs.  The laws are at 18 USC 1029, and
  665. cover what is called "access device fraud."  An access device is "any
  666. card, plate, code, account number or other means of access that can be
  667. used, alone or in conjunction with another access device, to obtain money,
  668. goods, services, or any other thing of value, or that can be used to
  669. initiate a transfer of value."  The law forbids the possession, "knowingly
  670. and with intent to defraud" of fifteen or more devices which are
  671. counterfeit or unauthorized access devices."  If interstate commerce is
  672. involved, penalties are up to $10,000 and 10 years in prison.
  673.  
  674.  
  675.     Retrieving the SSN FAQ and related documents
  676.  
  677. The SSN FAQ is available from two places: rtfm.mit.edu (by FTP or EMail),
  678. or cpsr.org (by FTP or http).  The html version is at cpsr.org, and
  679. includes links to SSN-related info which has been omitted from the text
  680. version.  The text version is at MIT.
  681.  
  682. The URLs are:
  683.     http://cpsr.org/cpsr/privacy/ssn/ssn.faq.html
  684.     ftp://cpsr.org/ftp/cpsr/privacy/ssn
  685.     ftp://rtfm.mit.edu/pub/usenet-by-hierarchy/news/answers/privacy/ssn-faq
  686.  
  687.     WWW   (HTTP)
  688. There is a more comprehensive privacy page at CPSR (which points at
  689. both the SSN and junk mail FAQs).  It's at:
  690.    http://www.cpsr.org/dox/program/privacy/privacy.html.
  691.  
  692.     EMail
  693. You can get the latest version of the SSN FAQ (the text version) by
  694. sending mail to mail-server@rtfm.mit.edu with
  695.     send usenet-by-hierarchy/news/answers/privacy/ssn-faq
  696. as the sole contents of the body.  Send a message containing "help" to get
  697. general information about the mail server.
  698.  
  699. cpsr.org has other resources on privacy, SSNs, and related subjects.
  700. Other directories contain information on pending legislation, the 1st
  701. amendment, computer security, cryptography, FOIA, NII, and CPSR.
  702.  
  703. other Privacy-related Resources
  704.     http://www.cpsr.org/dox/program/privacy/privacy.html
  705.     http://www.epic.org/privacy/ssn
  706.     http://www.epic.org/privacy/
  707.  
  708. If you have suggestions for improving this document please send them to me:
  709.                                        Chris Hibbert
  710. hibbert@netcom.com        or           1195 Andre Ave.
  711.                                        Mountain View, CA 94040
  712.  
  713.  
  714.  
  715. -----BEGIN PGP SIGNATURE-----
  716. Version: 2.6
  717.  
  718. iQCVAwUBM0b0sqMpMwZ0adT9AQHjXwP6Aq2A3ZRp98auBgOo0Hb5VAMIXznrvWMg
  719. JZ5rnAiKyCNLzhRICHNPeRDLRuONcjWB3bOTAvY+paw1YlvFtIiCKYUoaYSN2YW0
  720. m+4RfMiOuQcS2pHE6f32jQsy1uvDDeQIu/bATfcjHRTsnhTev/1JkJRBdde1lm5A
  721. h2rTX53EG+0=
  722. =8jJj
  723. -----END PGP SIGNATURE-----
  724.