home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p01_014.txt < prev    next >
Text File  |  1996-09-03  |  14KB  |  320 lines
  1. PRIVACY Forum Digest      Tuesday, 25 August 1992      Volume 01 : Issue 14
  2.  
  3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     Cincinnati Bell CLASS tariff (David A. Banisar)
  14.     Selling customer lists (Jerome H. Saltzer)
  15.     Direct Mail Marketers to get access to CA DMV records
  16.        (Bruce R. Koball)
  17.     Wells Fargo Bank changes customer security system
  18.        (Moderator--Lauren Weinstein)
  19.  
  20.  
  21.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  22.             *** Submissions without them may be ignored! ***
  23.  
  24. -----------------------------------------------------------------------------
  25. The PRIVACY Forum is a moderated digest for the discussion and analysis of
  26. issues relating to the general topic of privacy (both personal and
  27. collective) in the "information age" of the 1990's and beyond.  The
  28. moderator will choose submissions for inclusion based on their relevance and
  29. content.  Submissions will not be routinely acknowledged.
  30.  
  31. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
  32. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
  33. "Subject:" lines may be ignored.  Subscriptions are by an automatic
  34. "listserv" system; for subscription information, please send a message
  35. consisting of the word "help" (quotes not included) in the BODY of a message
  36. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
  37. reported to "list-maint@cv.vortex.com".  All submissions included in this
  38. digest represent the views of the individual authors and all submissions
  39. will be considered to be distributable without limitations. 
  40.  
  41. The PRIVACY Forum archive, including all issues of the digest and all
  42. related materials, is available via anonymous FTP from site "cv.vortex.com",
  43. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  44. enter your e-mail address as the password.  The typical "README" and "INDEX"
  45. files are available to guide you through the files available for FTP
  46. access.  PRIVACY Forum materials may also be obtained automatically via
  47. e-mail through the listserv system.  Please follow the instructions above
  48. for getting the listserv "help" information, which includes details
  49. regarding the "index" and "get" listserv commands, which are used to access
  50. the PRIVACY Forum archive.
  51.  
  52. For information regarding the availability of this digest via FAX, please
  53. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
  54. to (310) 455-2364.
  55. -----------------------------------------------------------------------------
  56.  
  57. VOLUME 01, ISSUE 14
  58.  
  59.     Quote for the day:
  60.  
  61.         "I was cured all right."
  62.  
  63.                 -- Alex
  64.                "A Clockwork Orange" (1971)
  65.  
  66. ----------------------------------------------------------------------
  67.  
  68. Date:    Sun, 23 Aug 1992 13:10:09 -0400
  69. From:    David A. Banisar <Banisar@.cpsr.org>
  70. Subject: Cincinnati Bell CLASS tariff
  71.  
  72. --- Original message below ---
  73.  
  74. From: Rohan Samarajiva <rsamaraj@magnus.acs.ohio-state.edu>
  75.  
  76. Cincinnati Bell Telephone, a large non-RBOC telephone company,
  77. has filed  a request before the Public Utilities Commission of
  78. Ohio to offer seven CLASS services, including the controversial
  79. Caller ID and Call Return services.  CBT had been holding off
  80. on the latter services until the commission formulated policies
  81. regarding blocking.  Interestingly, CBT appears to have gone further
  82. than the final PUCO ruling on the blocking of number delivery.
  83.  
  84. Customers will be offered per-call and per-line number delivery
  85. blocking.  Per-line blocking will be offered free to customers
  86. with non-published numbers (23% of CBT's customers).  Others can
  87. obtain per-line blocking for $1.60 per month.  From the material
  88. issued by the company (not the formal tariff), it appears that 
  89. customers who want per-line blocking will have to ask for the service
  90. (even unpub. customers).  This falls short of the default per-line
  91. blocking for unpub. customers that was the key element of the 
  92. Ohio Hearing Examiner in the Ohio Bell case.  Concerns regarding
  93. the use of Call Retrun to discover the numbers of calling parties
  94. who had blocked number delivery do not appear to have been addressed.
  95.  
  96. ------------------------------
  97.  
  98. Date:    Mon, 24 Aug 92 18:48:33 EDT
  99. From:    Jerome H Saltzer <Saltzer@MIT.EDU>
  100. Subject: Selling customer lists [Subject field supplied by Moderator]
  101.  
  102. In Volume 01, Issue 08, Lauren asks for personal experiences that relate
  103. to privacy and Willis Ware talks about "data puddles" accumulated in the
  104. course of doing business that are protected, at best, by unspecified
  105. business ethics.  Last week I ran across something that covers both.
  106.  
  107. A local video rental store went belly-up, and the contents of the store
  108. were put up for auction.  About 100 people, some being dealers looking
  109. for inventory and others being private parties hoping to cheaply enhance
  110. their personal videotape library, showed up to check it out.  In addition
  111. to some 2400 used videotapes in 50 lots, there were a few rental VCR's, a
  112. small computer system, and the really choice item, lot 53, a two-drawer
  113. filecard cabinet labeled "mailing list".  This turned out to contain one
  114. file card per customer, with name, address, place of work and
  115. originally-presented ID on the front, and on the back a list of the names
  116. of all the videotapes that customer had rented.
  117.  
  118. I asked the auctioneer whether there he saw any problem in selling that
  119. lot, and he replied that it was common in business auctions to sell
  120. customer lists.
  121.  
  122. Exactly how the new federal law prohibiting disclosure of videotape
  123. rental records applies to this situation is not at all clear.  But it
  124. seems safe to say that business ethics can't be very effective in
  125. protecting data when the business vanishes.
  126.  
  127.                 Jerry Saltzer
  128.  
  129. ------------------------------
  130.  
  131. Date:    Mon, 24 Aug 1992 16:35:04 -0700
  132. From:    Bruce R Koball <bkoball@well.sf.ca.us>
  133. Subject: Direct Mail Marketers to get access to CA DMV records
  134.  
  135. Apparently an interesting piece of legislation in the California 
  136. State Legislature has slipped by the scrutiny of privacy 
  137. advocates. AB 2543, sponsored by Assemblyman Ross Johnson (R)
  138. opens up access to CA state DMV records for the purposes of 
  139. direct mail marketing. 
  140.  
  141. Many folks will remember that the murder of actress Rebecca 
  142. Schaeffer (sp?), by a deranged fan who obtained her home address 
  143. from DMV records via a private detective, prompted the DMV to 
  144. restrict access to their database.
  145.  
  146. This did not please direct mail marketing firms, for whom the DMV 
  147. database was a major information source. They have apparently 
  148. successfully lobbied to be included in the select group of people 
  149. (see below) who are still entitled to access these records.
  150.  
  151. Because this bill ostensibly has no fiscal impact (from the 
  152. state's viewpoint) it was able to take a fast track through the 
  153. legislature, slipping by virtually unnoticed, and now sits on the 
  154. Governor's desk, awaiting his signature.
  155.  
  156. Although records in the state legislature's computer show no 
  157. recorded opposition to the bill, the DMV's public information 
  158. office claims that they are on record as opposing it on privacy 
  159. grounds.
  160.  
  161. The bill's sponsors and supporters have attempted to address 
  162. concerns about confidentiality of DMV records by restricting 
  163. access and use, but privacy advocates point out that there are 
  164. serious secondary use issues here as well. They maintain that 
  165. information collected for one purpose should not be used for 
  166. another purpose without the consent of the data subject.
  167.  
  168. The legislative analysis follows:
  169.  
  170. ==========
  171.  
  172. AB 2543
  173.  
  174. Ross Johnson (R)
  175.  
  176. SUBJECT: Department of Motor Vehicles: access to records
  177.  
  178. SOURCE:  Author
  179.  
  180. DIGEST: This bill provides that the Department of Motor Vehicles' 
  181. records be accessible for the purposes of direct mail marketing, 
  182. under specified circumstances.
  183.  
  184. Senate Floor Amendments of 8/13/92 specify information that may 
  185. be sold.
  186.  
  187. ANALYSIS: Existing law provides that residence addresses in the 
  188. Department of Motor Vehicles (DMV) records are confidential and 
  189. shall not be disclosed except to a court, law enforcement agency, 
  190. governmental agency, financial institutional, or insurance 
  191. company, attorney, and vehicle manufacturer or dealer, with 
  192. specified restrictions and limitations. Existing law authorizes 
  193. DMV to limit release of mailing addresses, except to the above 
  194. listed parties, for purposes relating to the reasons for which 
  195. the information was collected. It also authorizes the release of 
  196. mailing addresses to persons who have obtained a "requester 
  197. code", as specified, from DMV.
  198.  
  199. This bill would require the DMV to allow access and release of a 
  200. residence address or mailing address, or both, if the name of the 
  201. individual whose address was released was maintained confidential 
  202. and not disclosed to any person, and if the address could not be 
  203. directly linked to any specific vehicle license plate number. The 
  204. DMV would be allowed to charge a fee for its service to fully 
  205. recover its cost.
  206.  
  207. The bill would also revise the definition of commercial use to 
  208. specifically include direct mail advertising. In addition, the 
  209. bill would provide that access to the department's electronic 
  210. data base would include both the access and release of a 
  211. residence address of mailing address, or both, if the name of the 
  212. individual whose address was released was maintained confidential 
  213. and not disclosed to any person and if the address could not be 
  214. directly linked to any specific vehicle license plate number.
  215.  
  216. The bill specifies that information from the department's records 
  217. that may be inspected, accessed, released or sold includes, but 
  218. is not limited to information relating to driver's licenses, 
  219. certificates of ownership and registration cards.
  220.  
  221. The purpose of this bill is to provide to DMV records to direct 
  222. mail services.
  223.  
  224. Background
  225.  
  226. AS 1779 (Roos) Chapter 1213, Statutes of 1989, created the 
  227. residence address confidentiality provision. Prior to that bill, 
  228. the entire DMV data base was sold to the R.L. Polk Company for 
  229. over $2 million. The Polk Company then tailored information from 
  230. the data base for a variety of customers. Since 1990, DMV records 
  231. have been inaccessible to direct mail marketers.
  232.  
  233. In 1990, SB 2068 (Doolittle) attempted to address the problems 
  234. that have arisen due to the implementation ofexisting law by the 
  235. DMV. That bill was held in the Assembly Transportation Committee.
  236.  
  237. Prior Legislation
  238.  
  239. SB 2068 (Doolittle - 1990), passed the Senate 37-0, held in 
  240. Assembly Transportation Committee.
  241.  
  242. FISCAL EFFECT: Appropriation: NO / Fiscal Committee: Yes / Local: 
  243. No
  244.  
  245. SUPPORT:  (Verified 8/13/92)
  246.  
  247. R.L. Polk
  248. Seal Press, Inc.
  249. Moe's Direct Marketing
  250. Mailmark
  251. Direct Marketing Service
  252. Jart Direct Mail Services
  253. ARCO
  254. California Newspaper Publishers Association
  255.  
  256. ARGUMENTS IN SUPPORT:  According to the proponents of the bill, 
  257. problems have arisen due to the implementation of existing law 
  258. by the DMV. Direct marketers would like to have access to DMV 
  259. records, but recognize the need for appropriate safeguards for 
  260. confidentiality on personal information.
  261.  
  262. ------------------------------
  263.  
  264. Date:    Mon, 24 Aug 92 19:42 PDT
  265. From:    lauren@cv.vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  266. Subject: Wells Fargo Bank changes customer security system
  267.  
  268. Greetings.  In a previous issue of the digest, I reported how Wells Fargo
  269. Bank, a major California institution, had rather quietly started allowing
  270. customers to optionally specify "code words" before they could access their
  271. account balances, etc. via live operators (you could not use their
  272. automated system for such purposes if you chose to make use of this
  273. additional security).  The automated system simply required entry of account
  274. number and some other easily obtained information (I believe it was zip
  275. code).
  276.  
  277. Wells has now changed this policy.  They have now converted to an automated
  278. attendant system which answers all calls (though you can still get to a
  279. human if you enter the correct commands).  Persons who request additional
  280. security must now select a three digit code which is then required for both
  281. live calls and automated account access.  The old "code words" are no longer
  282. supported.  Supposedly the system will "lock out" if the code number is
  283. incorrect three times in a row, and then they will go through some procedure
  284. involving a live operator (which they declined to detail) to verify the user.
  285.  
  286. Of some concern is other information that is now available via the automated
  287. system.  Apparently anybody can now call, enter any account number and an
  288. amount, and be told whether or not that amount of funds is available in the
  289. specified account.  With a relatively few calls, it would be possible to
  290. pretty well range in on the amount in any account using this system.  When I
  291. questioned them about the wisdom of allowing this information to be
  292. available in an automated manner with absolutely no security or tracking of
  293. any kind, they replied that since federal regulations allow it, they're 
  294. doing it.
  295.  
  296. So, it seems we have the good and the bad to report (no doubt the ugly will
  297. show up shortly...)  On the positive side, Wells is to be applauded for the
  298. PIN system now available for controlling access to account detail
  299. information and transactions.  On the negative front, the uncontrolled,
  300. automated access to a "go" or "no-go" response for any amount on any account
  301. is decidedly unfortunate.
  302.  
  303. Comments regarding Wells Fargo's automated systems should be sent to:
  304.  
  305. Clyde Ostler
  306. Vice Chairman
  307. Wells Fargo Bank
  308. P.O. Box 63710
  309. San Francisco, CA  94163-1036
  310.  
  311. (This is the name specifically given to me by Wells Fargo customer service
  312. supervisors.)
  313.  
  314. --Lauren--
  315.  
  316. ------------------------------
  317.  
  318. End of PRIVACY Forum Digest 01.14
  319. ************************
  320.