home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_004.txt < prev    next >
Text File  |  1996-09-03  |  19KB  |  387 lines
  1. PRIVACY Forum Digest     Sunday, 24 January 1993     Volume 02 : Issue 04
  2.  
  3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     Caller-ID a danger? Not by itself (A. Padgett Peterson)
  14.     The REAL problem with Caller ID (Larry Seiler)
  15.     Re: SSN and new baby, Schools and SSNs (Ed Tripp)
  16.     OECD Guidelines cont'd (Marc Rotenberg)
  17.     IEEE conference (Dr. William J. Kelly)
  18.  
  19.  
  20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  21.             *** Submissions without them may be ignored! ***
  22.  
  23. -----------------------------------------------------------------------------
  24. The PRIVACY Forum is a moderated digest for the discussion and analysis of
  25. issues relating to the general topic of privacy (both personal and
  26. collective) in the "information age" of the 1990's and beyond.  The
  27. moderator will choose submissions for inclusion based on their relevance and
  28. content.  Submissions will not be routinely acknowledged.
  29.  
  30. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
  31. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
  32. "Subject:" lines may be ignored.  Subscriptions are by an automatic
  33. "listserv" system; for subscription information, please send a message
  34. consisting of the word "help" (quotes not included) in the BODY of a message
  35. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
  36. reported to "list-maint@cv.vortex.com".  All submissions included in this
  37. digest represent the views of the individual authors and all submissions
  38. will be considered to be distributable without limitations. 
  39.  
  40. The PRIVACY Forum archive, including all issues of the digest and all
  41. related materials, is available via anonymous FTP from site "cv.vortex.com",
  42. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  43. enter your e-mail address as the password.  The typical "README" and "INDEX"
  44. files are available to guide you through the files available for FTP
  45. access.  PRIVACY Forum materials may also be obtained automatically via
  46. e-mail through the listserv system.  Please follow the instructions above
  47. for getting the listserv "help" information, which includes details
  48. regarding the "index" and "get" listserv commands, which are used to access
  49. the PRIVACY Forum archive.
  50.  
  51. For information regarding the availability of this digest via FAX, please
  52. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
  53. to (310) 455-2364.
  54. -----------------------------------------------------------------------------
  55.  
  56. VOLUME 02, ISSUE 04
  57.  
  58.    Quote for the day:
  59.  
  60.     "Mars is essentially in the same orbit... somewhat the same distance
  61.      from the sun, which is very important.  We have seen pictures where
  62.      there are canals, we believe, and water.  If there is water, that
  63.      means there is oxygen.  If oxygen, that means we can breathe."
  64.  
  65.                             -- Former Vice President Dan Quayle
  66.  
  67. ----------------------------------------------------------------------
  68.  
  69. Date:    Sat, 16 Jan 93 21:12:42 -0500
  70. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
  71. Subject: Caller-ID a danger ? Not by itself.
  72.  
  73. >From:    scott@cs.rochester.edu
  74. >Subject: Op-ed piece on telephone Calling Number ID
  75.  
  76. >    Unless you act immediately, your name, address, and telephone number are
  77. >about to be added to the marketing lists of a whole new set of telephone soli-
  78. >citors and direct-mail advertisers.  How?  Through the "Call ID" facility
  79. >recently introduced by Rochester Telephone.
  80.  
  81. First, let me say that I am a firm believer in the potential of Caller-ID
  82. to be an invisible layer of access control to computer systems.
  83.  
  84. Given that, my feeling is that the controversy centers around two, not one,
  85. situations.
  86.  
  87. 1) Captured CNID information can be stored electronically.
  88. 2) Once stored, the CNID can be used to extract information from public
  89.    databases that the caller might prefer not to be disclosed.
  90.  
  91. What is not commonly appreciated is that element (1) is available in the
  92. form of ANI on any number of common business calls to anyone with the
  93. proper service (e.g. 800 and 900 area code calls). The difference between
  94. this and Caller-ID (CNID) is the cost threshold.
  95.  
  96. Given that the information is already available for (1), the answer would 
  97. to be the amount of information derived in (2). True, reverse phone books
  98. provide additional information, but all is based on the information provided
  99. by the telco. There are many areas/exchanges which, by the virue of being
  100. small, do not have reverse directories available (I used to live in one in
  101. Texas).
  102.  
  103. Further, even where reverse directories are available, they are based on
  104. the information provided electronically (for a fee) by the telco. There
  105. are any number of ways to prevent dissemination of this.
  106.  
  107. The two best known are touted as extra cost "features" by the Telco -
  108. unpublished and unlisted numbers. There is a third means that may be
  109. used at no cost however. Simply specify that only the name of the person
  110. having that number be listed (e.g. direct that no address or only the
  111. city be listed). There is nothing in the tarrifs that requires
  112. street addresses to be listed in the phone book and several compelling 
  113. reasons why individual safety would dictate not - but few people ever take 
  114. advantage of this. 
  115.  
  116. The important thing to remember is that the subscriber does have  some 
  117. control over *what* is listed, and this is what is reported to outside
  118. parties.
  119.  
  120. Meanwhile, I have Caller-ID at home and my personal dislike is that finding
  121. out before installation what numbers you can receive and which will 
  122. report "out-of-area" is like pulling teeth. Fully a third of the local 
  123. calls received report this including those that originate from a subdivision 
  124. less than five miles from my home (and I have been assured that the callers
  125. did not block CNID), yet there is no discount for such "partial" service
  126. (*all* of the calls received today were "out-of-area"). IMHO, until it is 
  127. nationwide, it will not be really effective (expect it in under two years).
  128.  
  129.                 Warmly,
  130.                     Padgett
  131.  
  132.         [ One important distinction between CNID and 800 number ANI
  133.           is that in the latter case the person being *called* is
  134.           paying for the call--essentially it is a collect call.
  135.           Clearly some mechanism must exist for the entity paying
  136.           for these calls to track use and/or abuse of their
  137.           resources.  This is a different situation than CNID, where
  138.           the person *making* the call is the one normally paying
  139.           for the call, but the person receiving the call 
  140.           still wants to know the number of the person 
  141.           calling. -- MODERATOR ]
  142.  
  143. ------------------------------
  144.  
  145. Date:    Tue, 19 Jan 93 15:53:57 EST
  146. From:    "Larry Seiler, x223-0588, MLO5-2  19-Jan-1993 1515" 
  147.      <seiler@rgb.enet.dec.com>
  148. Subject: The REAL problem with Caller ID
  149.  
  150. As noted by Michael Scott in digest #03, Caller ID is almost exclusively
  151. a marketing tool.  At one time I thought it had value for finding the
  152. identity of nuiscance callers, but that can now be easily accomplished by 
  153. the phone company at their offices -- CNID isn't necessary.
  154.  
  155. However, I feel that it is important understand that the real privacy
  156. problem of CNID is NOT the fact that businesses can know who is calling them.
  157. In most cases, I don't think people expect to be anonymous to the companies
  158. they do business with.  I do think that most people feel it is nobody else's 
  159. business who they choose to do business with.
  160.  
  161. So the privacy problem comes from the compilation and sale of databases 
  162. of that information -- plus inferences drawn from the caller information.
  163. CNID facilitates invasions of privacy on a broader scale than before,
  164. because it makes it easier to gather the data.  But it is what is done
  165. with the data that violates privacy -- not (usually) its collection.
  166.  
  167. This is an important distinction.  CNID is just a tool.  We should fight to
  168. limit CNID on privacy grounds, since it is such an effective tool.  But the
  169. real fight is to outlaw the distribution of personal data except with the 
  170. permission of the people about whom the data was collected.  
  171.  
  172.     Enjoy,
  173.     Larry
  174.  
  175. ------------------------------
  176.  
  177. Date:    Sun, 17 Jan 93 00:18 EST
  178. From:    et@tdslab.cmhnet.org (Ed Tripp)
  179. Subject: Re: SSN and new baby, Schools and SSNs
  180.  
  181. I have to respond to the assumption being made that the IRS can finally
  182. force the registration of all children in this country or deny the valid
  183. tax exemptions for them.
  184.  
  185. My three children were all born at home, in the same bed, with the assistance
  186. of midwives.  I filed the birth certificates and at least one of them has me
  187. as the only witness to the birth.  My children have no SSNs and they will not
  188. have them until they are working and registered for Social Security tax
  189. purposes.  The original law requiring registration of children of ages 5 and
  190. up was put through as a way to control AFDC fraud.  A rider on a bill two
  191. years (I think) later changed the age to 2 and was written so as to be
  192. essentially invisible to the reader.  The whole statement was one line
  193. amending "5" to "2" in a referenced paragraph in another document (the
  194. original bill).
  195.  
  196. I first encountered these laws when the bank demanded SSNs to avoid backup
  197. withholding from my children's bank accounts.  I opened an account with $100
  198. for each one at birth the same way my parents had done for me.  The idea was
  199. to encourage saving.  Since the amount involved was so small, I let the bank
  200. take the tax as a necessary expense of freedom.  The next demand came in the
  201. form of a statement that a $50 penalty could be assessed for not having the
  202. numbers.  I closed the accounts, bought savings bonds for the kids, and made
  203. sure the the bank knew exactly why.  This kind of nonsense only survives when
  204. people don't care enough to do anything about it.
  205.  
  206. About that time, the tax forms started requiring the numbers for dependents
  207. or a statement that they had been requested.  I wrote numerous letters to
  208. Congress and the ACLU on the issue.  The ACLU is actively pursuing this issue
  209. with respect to privacy concerns.  I got a letter from Jesse Helms stating
  210. that he had never realized what the Congress had passed when the registration
  211. requirement was passed and he "would look into it".  As for the tax returns,
  212. every year I file with "no numbers - see attachment" written across the area
  213. reserved for the SSNs.  Each year, I give the government a new set of copies
  214. of my childrens' birth certificates.  Those are public record and I don't
  215. mind them having them or having to deal with them.
  216.  
  217. Given the incredible abuse of the SSN by American businesses and government
  218. agencies at all levels I can clearly state that it will be a cold day in hell
  219. before I give in on this issue.  I should also note that my two oldest
  220. children are in the public school system here (Upper Arlington, Ohio).  As
  221. far as I know, they are the only two in the entire system who do not have
  222. SSNs.  When the school office called me about the missing number on my
  223. daughter's registration and I replied that she did not have one and would
  224. not have one, the reply was "Oh yes, you're the one".  They remembered the
  225. encounter when my oldest son was enrolled.  This time there was no further
  226. discussion.  In fact, the only thing the woman I was talking to could think
  227. of that required a number for the schools was requests for copies of high
  228. school transcripts.  I assume my children will have them legitimately by then.
  229.  
  230. I would be interested in feedback from anyone who knows whether the material
  231. I am including below is still relevant to this issue.  When I read it, it
  232. appeared that I had actually been exceeding what was necessary to keep the
  233. IRS off my back.  However, that may have changed recently given the efforts
  234. of a number of people to establish a "New World Order" for everyone inside
  235. and outside of this country.  This is excerpted from a file available at
  236. eff.org and I assume a number of other sites:
  237.  
  238.      -----------------------------------------------------------------------
  239.  
  240. Archive-Name: ssn-privacy
  241.  
  242.        What to do when they ask for your Social Security Number
  243.  
  244.                            by Chris Hibbert
  245.  
  246.                         Computer Professionals
  247.                       for Social Responsibility
  248.  
  249.  
  250.         --------- much deleted material ---------
  251.  
  252.                                   Children
  253.  
  254. The Family Support Act of 1988 (42 USC 1305, 607, and 602) apparently
  255. requires states to require parents to give their Social Security Numbers in
  256. order to get a birth certificate issued for a newborn.  The law allows the
  257. requirement to be waived for "good cause", but there's no indication of what
  258. may qualify.
  259.  
  260. The IRS requires taxpayers to report SSNs for dependents over one year of
  261. age, but the requirement can be avoided if you're prepared to document the
  262. existence of the child by other means if challenged.  The law on this can be
  263. found at 26 USC 6109.
  264.  
  265.      -----------------------------------------------------------------------
  266.  
  267. By the way, I am a computer "professional" if that term means that I make
  268. my living teaching about, designing, building, programming, and otherwise
  269. being obsessed with computers.  Computers are tools.  They can be used for
  270. great good and great evil.  My determination to fight the use of the SSN
  271. as a universal identifier has to do with avoiding the latter.  And no, I
  272. do not trust my government on this issue since abuses of intelligence
  273. and police powers are commonplace events and commercial use of the SSN
  274. is totally uncontrolled in spite of the often repeated desire of Congress
  275. to avoid the creation of a "national identity number".
  276.  
  277. Ed Tripp (et@tdslab.cmhnet.org)
  278.  
  279. ------------------------------
  280.  
  281. Date:    Mon, 18 Jan 1993 15:16:10 EST    
  282. From:    Marc Rotenberg <Marc_Rotenberg@washofc.cpsr.org>
  283. Subject: OECD Guidelines cont'd 
  284.  
  285. Padget Peterson makes a good point in Privacy Forum Vol. 2, Issue 3.  The
  286. character of vulnerabilies has changed.  Failure is more difficult to
  287. localize in networked environments.  Look at the recent problems with the
  288. phone network or the Cornell Worm.
  289.  
  290. It is important to point out that the words Padget quotes ("Society has
  291. become very dependent on technologies that are not yet sufficiently
  292. dependable") are from the OECD press release and not from CPSR.  We are
  293. generally more skeptical about the prospects for absolute dependability.
  294.  
  295. Still, openness in design in important.  The OECD expert group tried to
  296. address this concern with the "Awareness Principle" which states
  297.  
  298.         "In order to foster confidence in information systems, owners,
  299. providers and users of information systems and other parties should readily
  300. be able, consistent with maintaining security, to gain appropriate knowledge
  301. of and be informed about the existence and general extent of measures,
  302. practices and procedures for the security of information systems.  However,
  303. I disagree with one point in Padgett's note.  Openness in design does not
  304. come at a cost in privacy.  In some circumstances, just the opposite is
  305. true."
  306.  
  307. The principle could have been stated less ambiguously, but the idea is there.
  308.  
  309. I disagree with one point in Padget's note.  Openness does not necessarily
  310. lead to a trade off with personal privacy.  In many circumstances, the
  311. opposite is true.
  312.  
  313. Consider the FBI's digital telephony proposal which would facilitate
  314. wiretapping of the communications network.  CPSR has pushed the FBI through
  315. the Freedom of Information Act to be more forthcoming about the technical
  316. issues surrounding wire surveillance.  The FBI is reluctant to provide the
  317. information, even though the General Service Administration has now sent us
  318. a document which said that the proposal would "make it easier for criminals,
  319. terrorists, foreign intelligence and computer hackers to electronically
  320. penetrate the phone network and pry into areas not previously open to
  321. snooping."
  322.  
  323. Privacy is not secrecy.
  324.  
  325. Marc Rotenberg
  326. CPSR Washington office
  327.  
  328. ------------------------------
  329.  
  330. Date:    Fri, 22 Jan 1993 14:23:20 EDT
  331. From:    "Dr. William J. Kelly" <m16805@mwvm.mitre.org>
  332. Subject: IEEE conference
  333.  
  334.                        CALL FOR PAPERS
  335.     THE IEEE SOCIAL IMPLICATIONS OF TECHNOLOGY SOCIETY
  336.        THE IEEE TECHNICAL POLICY CONFERENCE COMMITTEE
  337.            THE IEEE NATIONAL CAPITAL AREA COUNCIL
  338.  
  339.          INVITE CONTRIBUTIONS FOR AN INTERDISCIPLINARY
  340.    International Symposium on Technology and Society 1993
  341.                          (ISTAS '93)
  342.              Washington DC  October 22-23, 1993
  343.                         on the theme
  344.           TECHNOLOGY: WHOSE COSTS?..WHOSE BENEFITS?
  345.  
  346. Technology is constantly changing the our world.  New ways of doing things
  347. bring benefits undreamed-of just a few years ago.  These technologies also
  348. have their price.  The costs can be financial, or increased risks, or a less
  349. pleasant way of life.
  350.  
  351. How do we balance benefits and costs?  Do those who enjoy the benefits bear
  352. their fair share of the costs?  How can we determine a fair share?  If we
  353. can, and don't like the results, what do we change?  Is the Government
  354. always the best way to change things?  ISTAS '93 will explore these and
  355. related questions, concentrating on three exemplary areas of technology:
  356.  
  357.                 Computers and Communications
  358.                        Health Care
  359.                Energy and the Environment
  360.  
  361. ISTAS '93 invites significant contributions on these issues from a wide
  362. spectrum of scholarly and concerned individuals.  The contributions can be
  363. papers, proposals for a session or panel of invited experts, or proposals
  364. for "poster" or discussion sessions.  Please send an extended (two page)
  365. abstract for papers or a two page proposal for sessions, to
  366.  
  367.                       the General Chair
  368.                     Dr. William J. Kelly
  369.                           Attn IEEE
  370.                       MITRE Corporation
  371.                      7525 Colshire Drive
  372.                       McLean, VA 22102
  373.  
  374.            DEADLINE FOR SUBMISSION:      FEBRUARY 28, 1993
  375.            Notification of Acceptance:   March 31, 1993
  376.            Camera Ready Copy:            June 30, 1993
  377.  
  378. In the tradition of the Carnahan Conferences Technics: A Delicate Balance"
  379. in Los Angeles 1989 "Preparing for a Sustainable Society" in.Toronto1991
  380. ISTAS '93 invites contributors from many disciplines to illuminate the
  381. problems and choices that face us all.
  382.  
  383. ------------------------------
  384.  
  385. End of PRIVACY Forum Digest 02.04
  386. ************************
  387.