home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_011.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  21KB  |  438 lines

---

1. PRIVACY Forum Digest     Tuesday, 6 April 1993     Volume 02 : Issue 11
2.  
3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS
13.     About the database business (Larry Seiler)
14.     Personal letters (Steven Hodas)
15.     Junking the Junk-Mailers (Chaz Heritage)
16.     Legal Net Monthly Newsletter (Paul Ferguson)
17.     Chicago DEA Surveillance of Gardeners (Sarah M. Elkins)
18.  
19.  
20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
21.             *** Submissions without them may be ignored! ***
22.  
23. -----------------------------------------------------------------------------
24. The PRIVACY Forum is a moderated digest for the discussion and analysis of
25. issues relating to the general topic of privacy (both personal and
26. collective) in the "information age" of the 1990's and beyond.  The
27. moderator will choose submissions for inclusion based on their relevance and
28. content.  Submissions will not be routinely acknowledged.
29.  
30. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
31. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
32. "Subject:" lines may be ignored.  Subscriptions are by an automatic
33. "listserv" system; for subscription information, please send a message
34. consisting of the word "help" (quotes not included) in the BODY of a message
35. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
36. reported to "list-maint@cv.vortex.com".  All submissions included in this
37. digest represent the views of the individual authors and all submissions
38. will be considered to be distributable without limitations. 
39.  
40. The PRIVACY Forum archive, including all issues of the digest and all
41. related materials, is available via anonymous FTP from site "cv.vortex.com",
42. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
43. enter your e-mail address as the password.  The typical "README" and "INDEX"
44. files are available to guide you through the files available for FTP
45. access.  PRIVACY Forum materials may also be obtained automatically via
46. e-mail through the listserv system.  Please follow the instructions above
47. for getting the listserv "help" information, which includes details
48. regarding the "index" and "get" listserv commands, which are used to access
49. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
50. available through the Internet Gopher system via a gopher server on
51. site "cv.vortex.com".
52.  
53. For information regarding the availability of this digest via FAX, please
54. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
55. to (310) 455-2364.
56. -----------------------------------------------------------------------------
57.  
58. VOLUME 02, ISSUE 11
59.  
60.    Quotes for the day:
61.  
62.     "If we think really hard, maybe we can stop this rain!"
63.  
64.     "There is always a little bit of heaven in a disaster area!"
65.  
66.              -- Announcements at the Woodstock Rock Festival; 1969
67.  
68. ----------------------------------------------------------------------
69.  
70. Date:    Sun, 28 Mar 93 04:33:54 EST
71. From:    "Larry Seiler, x223-0588, MLO5-2" <seiler@rgb.enet.dec.com>
72. Subject: About the database business
73.  
74. John, [ referring to jpettitt@well.sf.ca.us -- MODERATOR ]
75.  
76. There are several things in your message that I agree with wholeheartedly,
77. e.g. that the data collection/distribution business should be brought into
78. the light so that everyone knows what is going on.  However, there are
79. several issues in your last message that I wish to comment on.  I'll
80. summarize them with the following statements:
81.  
82.     1)  Who is hurt by free flow of accurate information?
83.  
84.     2)  Inaccurate information is worse than none and has no value.
85.  
86.     3)  Data collection and trading will happen no matter what.
87.  
88.     4)  Should there be a required consent law for data collection?
89.  
90.     5)  Paying for 800 service gives you a right to people's names.
91.  
92.     6)  Your norms for the collection and sharing of information.
93.  
94. Let me take those one at a time.
95.  
96.  
97.     1)  Who is hurt by free flow of accurate information?
98.  
99. Many people who test HIV positive have lost their jobs through fear of 
100. infection.  It is now known that it is virtually impossible to give someone
101. AIDS by normal workplace activities (unless one works in a brothel), but
102. it isn't surprizing that fears persist.  Let's suppose an employer learns
103. the accurate information that someone tests HIV positive and chooses to
104. fire that person (stating some other reason, of course).  The free flow of
105. information has unfairly harmed that person.
106.  
107. I have a friend who woke up one night (during a messy divorce) to find
108. her car on fire.  The fire department told her that it was arson and if
109. she hadn't woken up so promptly, the whole house would have burned down.
110. Her response was to announce that she was moving, to change her address
111. to a P.O. box, and to put someone else's name on her mailbox.  However,
112. the phone company still knew where she lived -- and would have tracked
113. her to her new address even if she had really moved.  I submit that if
114. accurate information about her address were available, she would have
115. been subject to a significant risk of harm.  I should mention that her
116. ex-husband had a history of torching cars.
117.  
118. Wasn't it Judge Bork whose videotape rentals were publicized?  I think
119. that harmed him, to some extent.  Many people (most people) have things
120. we do that are legal and even ethical, but which might harm us if they
121. were publicized -- especially if they are taken out of context.  It's
122. really easy to cite cases where people can be harmed by the distribution
123. of dead-on accurate information about them, e.g. the British Royal family.
124.  
125.  
126.     2)  Inaccurate information is worse than none and has no value.
127.  
128. An individual piece of inaccurate information is worse than none, but
129. a database that is 95% accurate is obviously still very valuable.  
130. For example, if an untargeted hit rate is 1/100 and a targeted hit 
131. rate is 1/20 then even 50% inaccurate data will improve the hit rate.  
132. The database companies have no economic reason to try to be perfectly 
133. accurate -- and even if they are 95% accurate about 100M people, that's 
134. 5M people who can get screwed.  Reality is even worse, because there 
135. are multiple entries per person, any one of which might be inaccurate.  
136. And in fact, even credit information has been shown to be *far* less 
137. accurate (e.g., 30% to 50% error rate).  And yet, they still make a lot 
138. of money by selling it.
139.  
140. I believe current law shields most database purveyors from liability
141. for errors in their database, unless it can be shown that the error
142. was deliberately introduced.  This is yet another reason why high
143. accuracy isn't important to the database industry.  There's no way
144. to correct most databases, since we are not allowed to find out what's
145. being said about us.  And even for credit data, there are numerous
146. examples of people who've made almost a career out of trying to get
147. their records fixed, only to see the false data keep reappearing because
148. the credit card companies share data and do not do any verification.
149. So long as any database anywhere still has the bad data, it can keep
150. reappearing, no matter how often you've proved that it is false.
151.  
152.  
153.     3)  Data collection and trading will happen no matter what.
154.  
155. So will theft.  So will sweatshop labor.  The fact that some people
156. will find ways to do it (offshore if necessary), or even a claim that 
157. "everybody does it" has no bearing on whether it should be allowed.
158.  
159. The proper question is, how can a law regarding data privacy be made
160. such that it actually protects privacy and is actually enforcable?
161. That's a good question, deserving of more thought in later messages.
162. However, I think it's necessary to generally agree on where we are 
163. going before we can agree on (or usefully discuss) how to get there.  
164. I do have a few suggestions that I'd like to share later.  
165.  
166.  
167.     4)  Should there be a required consent law for data collection?
168.  
169. It looks like we agree on this one.  I would be happy with a law that
170. defaulted to allowing information distribution but provides a clearly
171. understandable option for privacy.  But that would not be a "neutral
172. law" -- it would be a law biased toward disclosure.  However, if you
173. mean by "neutral" that it is a law that balances the desires of 
174. businesses for information and the desires of individuals for privacy,
175. then I agree.  Democracy is all about balancing competing interests.
176. At present, the laws are massively in favor of the information sellers.
177. I don't want to put the information sellers out of business -- I want
178. to require them to be responsive to privacy concerns and responsible
179. for what they do with the data.
180.  
181.  
182.     5)  Paying for 800 service give you a right to people's names.
183.  
184. Ask your customers why they think you have an 800 number.  I bet 99.94%
185. will say that you pay for that to convince them to call you, which they
186. wouldn't do if they had to pay for the call.  I'll bet hardly any know
187. that you get their number when they call an 800 number -- I've never seen
188. that mentioned except in the RISKS forum, not even in a phone company ad
189. for 800 service!  So I don't agree that paying for the service gives
190. you a right to know who's calling.  Also, as has been pointed out, if the 
191. purose of caller ID were to let you know *who* is calling, it would provide 
192. a name, not a number.  The phone company has explicitly said that they 
193. provide numbers because that is what their *database customers* want.  
194.  
195. I submit that caller ID blocking should be extended to apply to *all* 
196. phone services -- if you enable blocking, then *nobody* you call gets
197. your number.  You in your turn would be free to not answer any call 
198. that is blocked, as you are free to not open your door to a person on
199. your doorstep whom you cannot recognize.  I believe that would provide
200. a fair compromise between the competing interests.  Note that ANI is like
201. looking through the peephole into your caller's pocket and seeing their 
202. driver's license number, without their knowing you are doing so.  In a
203. free world, people should have a right to refuse to identify themselves,
204. just as you have a right to refuse to speak with an anonymous person.
205.  
206. Hmm...  maybe what the phone company should be required to provide is 
207. a block for caller ID blocking.  If you enable this on your 800 line, then
208. anyone who calls you with caller ID blocking enabled would be informed
209. that the call cannot get through because they are blocking caller ID.
210. So you are not bothered by (and do not pay for) any deliberately anonymous 
211. phone calls, and you'd still get calls from people who still live in areas 
212. without ANI (if any, I assume there are some).  Does that balance your
213. desires for caller ID against privacy concerns?
214.  
215.  
216.     6)  Your norms for the collection and sharing of information.
217.  
218. I feel I've shown why we should restrict the flow of accurate data --
219. why it can unfairly harm people to do so.  Beyond that, I don't feel
220. that you have a right to sell to people the fact that I purchased something
221. from you (except with my consent), but I know you don't agree with that.
222.  
223. It would be very valuable to establish clear, enforced methods of
224. tracking data.  To start with, databases should be required to specify
225. where each piece of data came from -- the source and the date it was
226. obtained.  Beyond what you suggest, methods should be established to
227. allow people to review data that is held about them -- both to uncover
228. potentially inaccurate data and to uncover data that is considered
229. private and that they did not consent to have distributed.
230.  
231. Under the category of reasonable penalties for selling inaccurate or
232. private data, I think it's important to take it out of the tort system.
233. It is unfair both to the public and to the database providers to have
234. the sole redress be a lawsuit.  It's unfair to the public because this
235. is a form of redress available to very few.  It's unfair to the database
236. providers because there is no limit to the damages a jury might award in
237. the rare cases where a claim does go to trial and is found for the
238. plaintiff (and for which an appeal doesn't gut the damage award).  BTW, 
239. I'd be interested to hear what you have to say about the tort system.
240.  
241. Database sellers should be required to respond to claims that their
242. databases contain inaccurate data.  There should be some established
243. procedure, like the procedure for contesting a credit card charge.
244. There should also be a standard fine of some kind for cases where the
245. database company does not respond to a proper request to investigate
246. alledgedly innacurate or private data in their database.  That's one
247. way to avoid the tort system while also establishing a financial value
248. for keeping the records accurate.  There are more possibilities here,
249. but I think they belong in a later message.
250.  
251.  
252.     Enjoy,
253.     Larry
254.  
255. ------------------------------
256.  
257. Date:    Mon, 29 Mar 1993 13:24:37 -0800 (PST)
258. From:    Steven Hodas <hhll@u.washington.edu>
259. Subject: Personal letters
260.  
261. If I send a personal letter to someone do they have the right to disclose
262. it to others without my consent? Does this vary state by state? If it's
263. prohibited, is it a civil or a criminal issue? If it is permitted doesn't
264. that suggest that we have greater privacy protection for electronic
265. communciation because the ECPA would prohibit that kind of disclosure?
266.  
267. Thanks,
268.  
269. Steven
270.  
271. ===========================================================================
272.      Steven Hodas                 School of Education
273.    University of Washington        Leadership and Policy Studies
274.      206.285.5734                hhll@u.washington.edu
275. ===========================================================================
276. ------------------------------
277.  
278. Date:    Wed, 31 Mar 1993 08:04:03 PST
279. From:    chaz_heritage.wgc1@rx.xerox.com
280. Subject: Junking the Junk-Mailers
281.  
282. In PRIVACY Forum Digest, Friday, 26 March 1993, Volume 02 : Issue 10, Alan
283. (Gesture Man) Wexelblat writes:
284.  
285. >When asked for "identifying" information which is probably going to be used to
286. compile marketing databases, I cheerfully supply *wrong* information.  I make
287. it as bogus and outlandish as I feel that day<
288.  
289. Two points.
290.  
291. First, there may be a 'rationality check' of some kind applied to data entry,
292. so names such as Mr. Michael Mouse or Mr. Donald Duck may be rejected out of
293. hand. When I last did this, some years ago, when I still had enough hair to
294. consider myself a young tearaway, I had been sent a marketing questionnaire,
295. which (having checked carefully for code numbers, etc.) I filled out in the
296. character of a retired gentleman with far more money than sense, very keen to
297. find out more about double-glazing, stone-cladding and concrete garden gnomes.
298. I gave his name as Mr. George Smiley and his address as the building in
299. Mayfair, London, once inhabited by MI5, the British Security Service. Obviously
300. I don't know if MI5's successors there have actually been pestered by
301. double-glazing salesmen, but I fancy that a relatively credible spoof has more
302. chance of working than an overtly surrealist one.
303.  
304. Second, since I did this the British government passed an Act laughably known
305. as the Data Protection Act, which, while it does nothing concrete to protect
306. the rights of the individual, and in many cases formalises earlier abuses, does
307. make it a crime to lie to a junk-mail computer. Whether recent 'anti-hacker'
308. legislation in the USA might have a similar effect I couldn't say, but I'd
309. think it prudent to check. As far as I know nobody has yet been prosecuted in
310. the UK for such an offence, but if any kind of determined spoofing effort were
311. to be made against this cornerstone of Monetarist culture then I'm sure that it
312. would receive the customary treatment.
313.  
314. Though spoofing junk mailers is fun it probably motivates them to make greater
315. efforts to bribe their friends in government to force compliance by legal
316. means, and to criminalise dissent, as has happened here (though apparently the
317. revelation that people could be so 'Trotskyite-Anarchist' as to lie to a
318. marketing company was one of the things that made Thatcher literally foam at
319. the mouth, thereby reducing the necessary level of bribery).
320.  
321. Though it would be very inconvenient I suspect that the only certain method of
322. stamping out these parasites would require the maximum possible popular
323. support, and would involve an absolute boycott of all companies taking any part
324. whatsoever in organised data abuse.
325.  
326. Regards,
327.  
328. Chaz
329.  
330. Disclaimer: As an individual I speak only for myself. I speak for no other, and
331. no other speaks for me.
332.  
333. ------------------------------
334.  
335. Date:    Wed, 31 Mar 93 16:29:39 EST
336. From:    fergp@sytex.com (Paul Ferguson)
337. Subject: Legal Net Monthly Newsletter
338.  
339. Opinion, editorial and news worthy submissions are currently being
340. (sought and) accepted for a new start-up electronic news journal.
341. This monthly compilation will be called 'The Legal Net Monthly
342. Newsletter' and will focus on the legal and ethical aspects of
343. computer networking. Legal Net Monthly will be a non-biased, open
344. forum electronic newsletter keeping in step with the networking
345. environment of the '90's and will be availble by E-Mail subscription.
346.  
347. Legal Net Monthly is aiming to release it's first issue on May 1st,
348. 1993. Articles on the following topics are especially welcome:
349.  
350.         o   Defining "Criminal Mischief" on the Nets
351.         o   Authoring/Distributing Computer Viruses: Legal Implications
352.         o   Legislative news around the world
353.  
354.  
355. Send all sumissions, subscription requests and correspondence to:
356. fergp@sytex.com
357.  
358.  
359. Paul Ferguson                     |  "Sincerity is fine, but it's no
360. Network Integration Consultant    |   excuse for stupidity."
361. Centreville, Virginia USA         |                       -- Anonymous
362. fergp@sytex.com     (Internet)    |
363. sytex.com!fergp     (UUNet)       |
364. 1:109/229           (FidoNet)     |
365.        PGP 2.2 public encryption key available upon request.
366.  
367. ------------------------------
368.  
369. Date:    Tue, 6 Apr 1993 14:54:36 PDT
370. From:    Sarah_M._Elkins.Wbst139@xerox.com
371. Subject: Chicago DEA Surveillance of Gardeners
372.  
373. Forwarded with permission (from libernet via homebrew).  Steve requests no
374. follow-ups to him; please ask the store (owner:  Dave Ittel) if you want more
375. information.  Apparently the camera was removed last week.  The Chicago Tribune
376. published a couple of articles about the store and the controversy, which I
377. have not read.
378.  
379. Regards,
380.  
381. Sarah Elkins (elkins.wbst139@xerox.com)
382.  
383.         ----------------------------------------------------------------
384.  
385. Date: Mon, 22 Mar 93 11:43 CST
386. From: srw@ihlpv.att.com
387. Subject: Drama, Excitement, Surveillance !
388.  
389. This isn't directly related to brewing per se, but I thought the
390. readers of this digest might be interested in a little drama that
391. is unfolding at the Chicago Indoor Garden Supply store, 297 N.
392. Barrington Rd, Streamwood, IL 60107.
393.  
394. I stopped in this past Saturday (3-20-93) to pick up some liquid yeast
395. and the owner asked an unusual question, "Would you like to see a
396. surveillance camera?"  At first I thought it was a trick question, but
397. he lead me to the door, shoved a pair of binoculars in my hand, and
398. directed my attention to a utility pole directly across the street.
399. Strange.  Power transformers don't usually have little windows on the
400. front and high gain antennas on the top.
401.  
402. The owner went on to allege that the Drug Enforcement Agency placed a
403. camera there to see who visits the store.  He claimed that they would
404. send chase cars after the patrons to get the license tag and then in
405. some cases show up at their door step demanding to search their home.
406.  
407. The store not only sells the necessary supplies for making beer, but
408. they also sell supplies for growing spices and herbs in your home.
409. It appears that the DEA assumes all customers of the store are
410. growing marijuana.  The disturbing part, the owner alleges, is that
411. the DEA does not have a search warrant when they show up that your
412. door.
413.  
414. It's been a couple of days now and no one has shown up at my door,
415. but I can say for a fact that there was a suspicious looking
416. transformer on the utility pole Saturday afternoon.  I wonder if
417. they are monitoring Handy Andy, Franks Nursery, K-mart, etc.
418.  
419. I'm sure if you call the store at 708-885-8282 they will be glad to
420. tell you the latest chapter in this unfolding drama.
421.  
422. The local CBS affiliate, WBBM Channel 2, is going to do a news story
423. tonight (Monday).  This could be interesting.
424.  
425.  
426. Steve Walk -- 708-713-7409 (Voice)   708-713-7963 (FAX)
427. Room IHP 2F-520
428. Software Systems and Technologies Department
429. AT&T Bell Laboratories
430. 263 Shuman Boulevard
431. Naperville, IL  60566-7050
432. att!ihlpv!srw or srw@ihlpv.att.com
433.  
434. ------------------------------
435.  
436. End of PRIVACY Forum Digest 02.11
437. ************************
438.