home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1993 July / InfoMagic USENET CD-ROM July 1993.ISO / answers / ssn-privacy < prev    next >
Encoding:
Internet Message Format  |  1993-06-21  |  24.4 KB
  1. Path: senator-bedfellow.mit.edu!enterpoop.mit.edu!pad-thai.aktis.com!pad-thai.aktis.com!not-for-mail
  2. From: hibbert@memex.com (Chris Hibbert)
  3. Newsgroups: alt.privacy,misc.legal,news.answers,alt.society.civil-liberty,comp.society.privacy,misc.answers,comp.answers,alt.answers
  4. Subject: Social Security Number FAQ
  5. Supersedes: <ssn-privacy_739512007@GZA.COM>
  6. Followup-To: alt.privacy
  7. Date: 22 Jun 1993 00:00:15 -0400
  8. Organization: Memex, Inc.
  9. Lines: 445
  10. Sender: faqserv@GZA.COM
  11. Approved: news-answers-request@MIT.Edu
  12. Expires: 20 Jul 1993 04:00:09 GMT
  13. Message-ID: <ssn-privacy_740721609@GZA.COM>
  14. NNTP-Posting-Host: pad-thai.aktis.com
  15. Keywords: Social Security Number, SSN, privacy
  16. X-Last-Updated: 1993/06/16
  17. Last-Modified: June 15, 1993
  18. Last-Modification: move retrieval instructions to beginning
  19. Last-Modification2: IRS promises to hide SSNs on mailing labels
  20. Last-Modification3: penalty for no SSN on 1040 for a dependant is $5
  21. Xref: senator-bedfellow.mit.edu alt.privacy:7445 misc.legal:66357 news.answers:9650 alt.society.civil-liberty:10320 comp.society.privacy:1270 misc.answers:123 comp.answers:1082 alt.answers:450
  22.  
  23. Archive-Name: ssn-privacy
  24.  
  25. If you have comments on the following, please send them to hibbert@memex.com. |
  26.  
  27. This posting is available via anonymous ftp from rtfm.mit.edu in the file     |
  28. /pub/usenet/news/answers/ssn-privacy.  It's also available from               |
  29. mail-server@rtfm.mit.edu by sending a mail message containing the line "send  |
  30. usenet/news/answers/ssn-privacy" (without the quote marks) as the sole        |
  31. contents of the body.  Send a message containing "help" to get general        |
  32. information about the mail server.                                            |
  33.  
  34.  
  35.  
  36.           What to do when they ask for your Social Security Number
  37.  
  38.                               by Chris Hibbert
  39.  
  40.                            Computer Professionals
  41.                          for Social Responsibility
  42.  
  43.  
  44. Many people are concerned about the number of organizations asking for their
  45. Social Security Numbers.  They worry about invasions of privacy and the
  46. oppressive feeling of being treated as just a number.  Unfortunately, I
  47. can't offer any hope about the dehumanizing effects of identifying you with
  48. your numbers.  I *can* try to help you keep your Social Security Number from
  49. being used as a tool in the invasion of your privacy.
  50.  
  51. Surprisingly, government agencies are reasonably easy to deal with; private
  52. organizations are much more troublesome.  Federal law restricts the agencies
  53. at all levels of government that can demand your number and a fairly
  54. complete disclosure is required even if its use is voluntary.  There are no
  55. comparable Federal laws restricting the uses non-government organizations
  56. can make of it, or compelling them to tell you anything about their plans.
  57. Some states have recently enacted regulations on collection of SSNs by
  58. private entities.  With private institutions, your main recourse is refusing
  59. to do business with anyone whose terms you don't like.  They, in turn, are
  60. allowed to refuse to deal with you on those terms.
  61.  
  62.  
  63.                                Short History
  64.  
  65. Social Security numbers were introduced by the Social Security Act of 1935.
  66. They were originally intended to be used only by the social security
  67. program.  In 1943 Roosevelt signed Executive Order 9397 which required
  68. federal agencies to use the number when creating new record-keeping systems.
  69. In 1961 the IRS began to use it as a taxpayer ID number.  The Privacy Act of
  70. 1974 required authorization for government agencies to use SSNs in their
  71. data bases and required disclosures (detailed below) when government
  72. agencies request the number.  Agencies which were already using SSN as an
  73. identifier before January 1, 1975 were allowed to continue using it.  The
  74. Tax Reform Act of 1976 gave authority to state or local tax, welfare,
  75. driver's license, or motor vehicle registration authorities to use the
  76. number in order to establish identities.  The Privacy Protection Study
  77. Commission of 1977 recommended that the Executive Order be repealed after
  78. some agencies referred to it as their authorization to use SSNs.  I don't
  79. know whether it was repealed, but no one seems to have cited EO 9397 as
  80. their authorization recently.
  81.  
  82. Several states use the SSN as a driver's license number, while others record
  83. it on applications and store it in their database.  Some states that
  84. routinely use it on the license will make up another number if you insist.
  85. According to the terms of the Privacy Act, any that have a space for it on
  86. the application forms should have a disclosure notice.  Many don't, and
  87. until someone takes them to court, they aren't likely to change.  (Though
  88. New York recently agreed to start adding the notice on the basis of a letter
  89. written by a reader of this blurb.)
  90.  
  91. The Privacy Act of 1974 (Pub. L. 93-579) requires that any federal, state,
  92. or local government agency that requests your Social Security Number has to
  93. tell you four things:
  94.  
  95. 1:  Whether disclosure of your Social Security Number is required or
  96.     optional,
  97.  
  98. 2:  What statute or other authority they have for asking for your number,
  99.  
  100. 3:  How your Social Security Number will be used if you give it to them, and
  101.  
  102. 4:  The consequences of failure to provide an SSN.
  103.  
  104. In addition, the Act says that only Federal law can make use of the Social
  105. Security Number mandatory.  So anytime you're dealing with a government
  106. institution and you're asked for your Social Security Number, just look for
  107. the Privacy Act Statement.  If there isn't one, complain and don't give your
  108. number.  If the statement is present, read it.  If it says giving your
  109. Social Security Number is voluntary, you'll have to decide for yourself
  110. whether to fill in the number.
  111.  
  112.  
  113.                            Private Organizations
  114.  
  115. The guidelines for dealing with non-governmental institutions are much more
  116. tenuous.  Most of the time private organizations that request your Social
  117. Security Number can get by quite well without your number, and if you can
  118. find the right person to negotiate with, they'll willingly admit it.  The
  119. problem is finding that right person.  The person behind the counter is
  120. often told no more than "get the customers to fill out the form completely."
  121.  
  122. Most of the time, you can convince them to use some other number.  Usually
  123. the simplest way to refuse to give your Social Security Number is simply to
  124. leave the appropriate space blank.  One of the times when this isn't a
  125. strong enough statement of your desire to conceal your number is when
  126. dealing with institutions which have direct contact with your employer.
  127. Most employers have no policy against revealing your Social Security Number;
  128. they apparently believe that it must be an unintentional slip when an
  129. employee doesn't provide an SSN to everyone who asks.
  130.  
  131. Public utilities (gas, electric, phone, etc.) are considered to be private
  132. organizations under the laws regulating SSNs.  Most of the time they ask for
  133. an SSN, and aren't prohibited from asking for it, but they'll usually relent
  134. if you insist.  Ask to speak to a supervisor, insist that they document a
  135. corporate policy requiring it, ask about alternatives, ask why they need it
  136. and suggest alternatives.
  137.  
  138.  Lenders and Borrowers
  139.  (those who send reports to the IRS)
  140.  
  141. Banks and credit card issuers and various others are required by the IRS to
  142. report the SSNs of account holders to whom they pay interest or when they
  143. charge interest and report it to the IRS.  If you don't tell them your
  144. number you will probably either be refused an account or be charged a
  145. penalty such as withholding of taxes on your interest.
  146.  
  147. Many Banks, Brokerages, and other financial institutions have started
  148. implementing automated systems to let you check your balance. All too often,
  149. they are using SSNs as the PIN that lets you get access to your personal
  150. account information.  If your bank does this to you, write them a letter
  151. pointing out how common it is for the people with whom you have financial
  152. business to know your SSN.  Ask them to change your PIN, and if you feel
  153. like doing a good deed, ask them to stop using the SSN as a default
  154. identifier for their other customers.  Some customers will believe that
  155. there's some security in it, and be insufficiently protective of their
  156. account numbers.
  157.  
  158. Sometimes banks provide for a customer-supplied password, but are reluctant
  159. to advertise it.  The only way to find out is to ask if they'll let you
  160. provide a password.  (This is reportedly true of Citibank Visa, e.g.  They
  161. ask for a phone number but are willing to accept any password.)
  162.  
  163. When buying (and possibly refinancing) a house, most banks will now ask for
  164. your Social Security Number on the Deed of Trust.  This is because the
  165. Federal National Mortgage Association recently started requiring it.  The
  166. fine print in their regulation admits that some consumers won't want to give
  167. their number, and allows banks to leave it out when pressed.  [It first
  168. recommends getting it on the loan note, but then admits that it's already on
  169. various other forms that are a required part of the package, so they already
  170. know it.  The Deed is a public document, so there are good reasons to refuse
  171. to put it there, even though all parties to the agreement already have
  172. access to your number.]
  173.  
  174.  Insurers, Hospitals, Doctors
  175.  
  176. No laws require medical service providers to use your Social Security Number
  177. as an ID number (except for Medicare, Medicaid, etc.)  They often use it
  178. because it's convenient or because your employer uses it to identify
  179. employees to its groups health plan.  In the latter case, you have to get
  180. your employer to change their policies.  Often, the people who work in
  181. personnel assume that the employer or insurance company requires use of the
  182. SSN when that's not really the case.  When a previous employer asked for my
  183. SSN for an insurance form, I asked them to try to find out if they had to
  184. use it.  After a week they reported that the insurance company had gone
  185. along with my request and told me what number to use.  Blood banks also ask
  186. for the number but are willing to do without if pressed on the issue.  After
  187. I asked politely and persistently, the blood bank I go to agreed that they
  188. didn't have any use for the number.  They've now expunged my SSN from their
  189. database, and they seem to have taught their receptionists not to request
  190. the number.
  191.  
  192. Most insurance companies share access to old claims through the Medical
  193. Information Bureau.  If your insurance company uses your SSN, other
  194. insurance companies will have a much easier time finding out about your
  195. medical history.  You can get a copy of the file MIB keeps on you by writing
  196. to Medical Information Bureau, P.O. Box 105, Essex Station, Boston, MA
  197. 02112.  Their phone number is (617)426-3660.
  198.  
  199. If an insurance agent asks for your Social Security Number in order to
  200. "check your credit", point out that the contract is invalid if your check
  201. bounces or your payment is late.  They don't need to know what your credit
  202. is like, just whether you've paid them.
  203.  
  204.  Children
  205.  
  206. The Family Support Act of 1988 (Pub. L. 100-485) requires states to require
  207. parents to give their Social Security Numbers in order to get a birth
  208. certificate issued for a newborn.  The law allows the requirement to be
  209. waived for "good cause", but there's no indication of what may qualify.
  210.  
  211. The IRS requires taxpayers to report SSNs for dependents over one year of
  212. age, but the requirement can be avoided if you're prepared to document the
  213. existence of the child by other means if challenged.  The law on this can be
  214. found at 26 USC 6109.  The penalty for not giving a dependant's number is     |
  215. only $5.  Several people have reported that they haven't provided SSNs        |
  216. for their dependents for several years, and haven't been challenged by        |
  217. the IRS.                                                                      |
  218.  
  219.  Universities and Colleges
  220.  
  221. Universities that accept federal funds are subject to the Family Educational
  222. Rights and Privacy Act of 1974 (the "Buckley Amendment"), which prohibits
  223. them from giving out personal information on students without permission.
  224. There is an exception for directory information, which is limited to names,
  225. addresses, and phone numbers, and another exception for release of
  226. information to the parents of minors.  There is no exception for Social
  227. Security Numbers, so covered Universities aren't allowed to reveal students'
  228. numbers without their permission.  In addition, state universities are bound
  229. by the requirements of the Privacy Act, which requires them to provide the
  230. disclosures mentioned above.  If they make uses of the SSN which aren't
  231. covered by the disclosure they are in violation.
  232.  
  233.  
  234.            Why SSNs are a bad choice for UIDs in data bases
  235.  
  236. Database designers continue to introduce the Social Security Number as the
  237. key when putting together a new database or when re-organizing an old one.
  238. Some of the qualities that are (often) useful in a key and that people think
  239. they are getting from the SSN are Uniqueness, Universality, Security, and
  240. Identification.  When designing a database, it is instructive to consider
  241. which of these qualities are actually important in your application; many
  242. designers assume unwisely that they are all useful for every application,
  243. when in fact each is occasionally a drawback.  The SSN provides none of
  244. them, so designs predicated on the assumption that it does provide them will
  245. fail in a variety of ways.
  246.  
  247.  Uniqueness
  248.  
  249. Many people assume that Social Security Numbers are unique.  They were
  250. intended by the Social Security Administration to be unique, but they didn't
  251. take sufficient precautions to ensure that it would be so.  There have been
  252. several instances when two different SSA offices issued the same number to
  253. different people.  They have also given a previously issued number to
  254. someone with the same name as the original recipient, thinking it was the
  255. same person asking again.  There are a few numbers that were used by
  256. thousands of people because they were on sample cards shipped in wallets by
  257. their manufacturers.  (One is given below.)
  258.  
  259. The passage of the Immigration reform law in 1986 caused an increase in the
  260. duplicate use of SSNs.  Since the SSN is now required for employment,
  261. illegal immigrants must find a valid name/SSN pair in order to fool the INS,
  262. and IRS long enough to collect a paycheck.  Using the SSN when you can't
  263. cross-check your database with the SSA means you can count on getting some
  264. false numbers mixed in with the good ones.
  265.  
  266.  Universality
  267.  
  268. Not everyone has a Social Security Number.  Foreigners are the primary
  269. exception, but many children don't get SSNs until they're in school.  They
  270. were only designed to be able to cover people who were eligible for Social
  271. Security.
  272.  
  273.  Identification
  274.  
  275. Few people ever ask to see an SSN card; they believe whatever you say.  The
  276. ability to recite the number provides little evidence that you're associated
  277. with the number in anyone else's database.
  278.  
  279.  Security
  280.  
  281. The card is not at all forgery-resistant, even if anyone did ever ask for
  282. it.  The numbers don't have any redundancy (no check-digits) so any 9-digit
  283. number in the range of numbers that have been issued is a valid number.
  284. It's relatively easy to copy the number incorrectly, and there's no way to
  285. tell that you've done so.
  286.  
  287. In most cases, there is no cross-checking that a number is valid.  Credit
  288. card and checking account numbers are checked against a database almost
  289. every time they are used.  If you write down someone's phone number
  290. incorrectly, you find out the first time you try to use it.
  291.  
  292.  
  293.  
  294.              Why you should resist requests for your SSN
  295.  
  296. When you give out your number, you are providing access to information about
  297. yourself.  You're providing access to information that you don't have the
  298. ability or the legal right to correct or rebut.  You provide access to data
  299. that is irrelevant to most transactions but that will occasionally trigger
  300. prejudice.  Worst of all, since you provided the key, (and did so
  301. "voluntarily") all the info discovered under your number will be presumed to
  302. be true, about you, and relevant.
  303.  
  304. A major problem with the use of SSNs as identifiers is that it makes it hard
  305. to control access to personal information.  Even assuming you want someone
  306. to be able to find out some things about you, there's no reason to believe
  307. that you want to make all records concerning yourself available.  When
  308. multiple record systems are all keyed by the same identifier, and all are
  309. intended to be easily accessible to some users, it becomes difficult to
  310. allow someone access to some of the information about a person while
  311. restricting them to specific topics.
  312.  
  313. Unfortunately, far too many organizations assume that anyone who presents
  314. your SSN must be you.  When more than one person uses the same number, it
  315. clouds up the records.  If someone intended to hide their activities, it's
  316. likely that it'll look bad on whichever record it shows up on.  When it
  317. happens accidentally, it can be unexpected, embarrassing, or worse.  How do
  318. you prove that you weren't the one using your number when the record was
  319. made?
  320.  
  321.  
  322.                 What you can do to protect your number
  323.  
  324. If despite your having written "refused" in the box for Social Security
  325. Number, it still shows up on the forms someone sends back to you (or worse,
  326. on the ID card they issue), your recourse is to write letters or make phone
  327. calls.  Start politely, explaining your position and expecting them to
  328. understand and cooperate.  If that doesn't work, there are several more
  329. things to try:
  330.  
  331. 1: Talk to people higher up in the organization.  This often works
  332.         simply because the organization has a standard way of dealing
  333.         with requests not to use the SSN, and the first person you deal
  334.         with just hasn't been around long enough to know what it is.
  335.  
  336. 2: Enlist the aid of your employer.  You have to decide whether talking
  337.         to someone in personnel, and possibly trying to change
  338.         corporate policy is going to get back to your supervisor and
  339.         affect your job.
  340.  
  341. 3: Threaten to complain to a consumer affairs bureau.  Most newspapers
  342.         can get a quick response.  Ask for their "Action Line" or
  343.         equivalent.  If you're dealing with a local government agency,
  344.         look in the state or local government section of the phone book
  345.         under "consumer affairs."  If it's a federal agency, your
  346.         congressmember may be able to help.
  347.  
  348. 4: Insist that they document a corporate policy requiring the number.
  349.         When someone can't find a written policy or doesn't want to
  350.         push hard enough to get it, they'll often realize that they
  351.         don't know what the policy is, and they've just been following
  352.         tradition.
  353.  
  354. 5: Ask what they need it for and suggest alternatives.  If you're
  355.         talking to someone who has some independence, and they'd like
  356.         to help, they will sometimes admit that they know the reason
  357.         the company wants it, and you can satisfy that requirement a
  358.         different way.
  359.  
  360. 6: Tell them you'll take your business elsewhere (and follow through if
  361.         they don't cooperate.)
  362.  
  363. 7: If it's a case where you've gotten service already, but someone
  364.         insists that you have to provide your number in order to have a
  365.         continuing relationship, you can choose to ignore the request
  366.         in hopes that they'll forget or find another solution before
  367.         you get tired of the interruption.
  368.  
  369. If someone absolutely insists on getting your Social Security Number, you
  370. may want to give a fake number.  There is no legal penalty as long as you're
  371. not doing it to get something from a government agency or to commit fraud.
  372. There are a few good choices for "anonymous" numbers.  Making one up at
  373. random is a bad idea, as it may coincide with someone's real number and
  374. cause them some amount of grief.  It's better to use a number like
  375. 078-05-1120, which was printed on "sample" cards inserted in thousands of
  376. new wallets sold in the 40's and 50's.  It's been used so widely that both
  377. the IRS and SSA recognize it immediately as bogus, while most clerks haven't
  378. heard of it.
  379.  
  380. There are several prefixes that have never been assigned, and which
  381. therefore don't conflict with anyone's real number.  They include the
  382. following patterns:
  383.  
  384. 1.  Any field all zeroes (no field of zeroes is ever assigned)
  385.  
  386. 2.  First digit "8" (no area numbers in the 800 series have been assigned)
  387.  
  388. 3.  First two digits 73-79 (no area numbers in the 700 series have been
  389.     assigned except 700-729 which were assigned to railroad workers until
  390.     1964)
  391.  
  392. Giving a number with one of these patterns rather than your own number isn't
  393. very useful if there's anything serious at stake since they're likely to be
  394. noticed .  Numbers beginning with 9 have never been assigned to individuals,
  395. but some have been assigned to organizations and for other special purposes.
  396. The Social Security Administration recommends that people showing Social
  397. Security cards in advertisements use numbers in the range 987-65-4320
  398. through 987-65-4329.
  399.  
  400. If you're designing a database, and want to use numbers other than Social
  401. Security Numbers, you'd be better off generating numbers that are shorter
  402. than 9 digits, so they won't be confused with SSNs.  If you have an existing
  403. database using SSNs, and want to allow people to use a different identifier,
  404. it's better to generate longer or shorter numbers or ones with letters
  405. included rather than depending on these unused patterns.
  406.  
  407. The Social Security Administration recommends that you request a copy of
  408. your file from them every few years to make sure that your records are
  409. correct (your income and "contributions" are being recorded for you, and no
  410. one else's are.)  As a result of a recent court case, the SSA has agreed to
  411. accept corrections of errors when there isn't any contradictory evidence,
  412. SSA has records for the year before or after the error, and the claimed
  413. earnings are consistent with earlier and later wages.  (San Jose Mercury
  414. News, 5/14, 1992 p 6A) Call the Social Security Administration at (800)
  415. 772-1213 and ask for Form 7004, (Request for Earnings and Benefit Estimate
  416. Statement.)
  417.  
  418.  
  419.                              US Passports
  420.  
  421. The application for US Passports (DSP-11 12/87) requsts an Social Security
  422. Number, but gives no Privacy Act notice.  There is a reference to "Federal
  423. Tax Law" and a misquotation of Section 6039E of the 1986 IRC, claiming that
  424. the section requires that you provide your name, mailing address, date of
  425. birth, and Social Security Number.  The referenced section only requires TIN
  426. (SSN), and it requires that it be sent to the IRS and not to the Passport
  427. office.  It appears that when you apply for a passport, you can refuse to
  428. reveal your Social Security Number to the passport office, and instead mail a
  429. notice to the IRS, giving only your Social Security Number (other identifying
  430. info optional) and notifying them that you are applying for a passport.  [I
  431. can provide copies (in postscript) of the letter that was used successfully   |
  432. by one contributor.  I'd be interested in hearing how the State department
  433. and the Post Office (which is willing to process the forms for you) react.]
  434.  
  435.  
  436.              Results from Some Recent Legal Cases (3/24/93)
  437.  
  438. CPSR joined two legal cases in 1992 which concerned Social Security Numbers
  439. and privacy.  One of them challenged the IRS practice of printing Social
  440. Security Numbers on mailing labels when they send out tax forms and related
  441. correspondence.  The other challenged Virginia's requirement of a Social
  442. Security Number in order to register to vote.
  443.  
  444. Dr. Peter Zilahy Ingerman filed suit against the IRS in Federal District
  445. Court in 1991, and CPSR filed a friend of the court brief in August '91.
  446. The case was decided in favor of the IRS.  According to "Privacy Journal",    |
  447. the IRS plans to start covering the SSNs on its mailing labels.               |
  448.  
  449. The Virginia case was filed by a resident of the state who refused to supply
  450. a Social Security Number when registering to vote.  When the registrar
  451. refused to accept his registration, he filed suit.  He also challenged the
  452. state of Virginia on two other bases: the registration form lacked a Privacy
  453. Act notice, and the voter lists the state publishes include Social Security
  454. Numbers.  The Federal court of appeals ruled that the state of Virginia may
  455. not allow the disclosure of Social Security numbers as a condition of
  456. registering to vote.  The court said that the Virginia requirement places an
  457. "intolerable burden" on the right to vote.  The case is officially referred
  458. to as Greidinger v. Davis, No. 92-1571, Fourth Circuit Court of Appeals,
  459. March 22, 1993.
  460.  
  461.  
  462. If you have suggestions for improving this document please send them to me
  463. at:
  464.                                        Chris Hibbert
  465. hibbert@memex.com        or            Memex, Inc.
  466.                                        550 California Ave, Suite 210
  467.                                        Palo Alto, CA 94306
  468.