home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / faqs / misc / answers / privacy / ssn-faq

< prev

Wrap

Internet Message Format  |  1997-10-18  |  38KB

---

1. Path: senator-bedfellow.mit.edu!faqserv
2. From: Chris Hibbert <hibbert@netcom.com>
3. Newsgroups: alt.privacy,misc.legal,alt.society.civil-liberty,misc.answers,comp.answers,alt.answers,news.answers
4. Subject: Social Security Number FAQ
5. Supersedes: <privacy/ssn-faq_875789459@rtfm.mit.edu>
6. Followup-To: alt.privacy
7. Date: 17 Oct 1997 10:16:52 GMT
8. Organization: Computer Professionals for Social Responsibility
9. Lines: 702
10. Approved: news-answers-request@MIT.Edu
11. Expires: 14 Nov 1997 10:16:41 GMT
12. Message-ID: <privacy/ssn-faq_877083401@rtfm.mit.edu>
13. NNTP-Posting-Host: penguin-lust.mit.edu
14. Summary: What to do when someone asks for your SSN.  Who can insist on
15.     getting it from you, who you can refuse to give it to.  Legal
16.     references and citations to other sources.
17. Keywords: Social Security Number, SSN, privacy
18. X-Last-Updated: 1997/04/07
19. Originator: faqserv@penguin-lust.MIT.EDU
20. Xref: senator-bedfellow.mit.edu alt.privacy:49995 misc.legal:239386 alt.society.civil-liberty:83543 misc.answers:6645 comp.answers:28558 alt.answers:29649 news.answers:114667
21.  
22. Archive-name: privacy/ssn-faq
23. Last-modified: April 5, 1997
24. Last-Modification: Dependents' SSNs must be reported to IRS
25. URL1: http://www.cpsr.org/cpsr/privacy/ssn/ssn.faq.html
26. URL2: ftp://rtfm.mit.edu/pub/usenet-by-hierarchy/news/answers/privacy/ssn-faq
27.  
28. -----BEGIN PGP SIGNED MESSAGE-----
29.  
30.  
31. If you have comments on the following, please send them to me at
32. hibbert@netcom.com.  A description of how to retrieve the most recent
33. version of this and related documents appears at the end.
34.  
35.  
36.  
37.           What to do when they ask for your Social Security Number
38.  
39.                               by Chris Hibbert
40.  
41.                            Computer Professionals
42.                          for Social Responsibility
43.  
44.  
45. Many people are concerned about the number of organizations asking for
46. their Social Security Numbers.  They worry about invasions of privacy and
47. the oppressive feeling of being treated as just a number.  Unfortunately,
48. I can't offer any hope about the dehumanizing effects of identifying you
49. with your numbers.  I *can* try to help you keep your Social Security
50. Number from being used as a tool in the invasion of your privacy.
51.  
52. The advice in this FAQ deals primarily with the Social Security Number
53. used in the US, though the privacy considerations are equally applicable
54. in many other countries.  The laws explained here are US laws.  The advice
55. about dealing with bureaucrats and clerks is universal.
56.  
57.     The Privacy Act of 1974
58.  
59. The Privacy Act of 1974 (Pub. L. 93-579, in section 7), which is the
60. primary law affecting the use of SSNs, requires that any federal, state,
61. or local government agency that requests your Social Security Number has
62. to tell you four things:
63.  
64. 1:  Whether disclosure of your Social Security Number is required or
65.     optional,
66.  
67. 2:  What statute or other authority they have for asking for your number,
68.  
69. 3:  How your Social Security Number will be used if you give it to them, and
70.  
71. 4:  The consequences of failure to provide an SSN.
72.  
73. In addition, the Act says that only Federal law can make use of the Social
74. Security Number mandatory (at 5 USC 552a note).  So anytime you're dealing
75. with a government institution and you're asked for your Social Security
76. Number, look for the Privacy Act Statement.  If there isn't one, complain
77. and don't give your number.  If the statement is present, read it.  Once
78. you've read the explanation of whether the number is optional or required,
79. and the consequences of refusing to give your number, you'll be able to
80. decide for yourself whether to fill in the number.
81.  
82. There are several kinds of governmental organizations (see the list in the
83. "Short History" section below) that usually have authority to request your
84. number, but they are all required to provide the Privacy Act Statement
85. described above.  The only time you should be willing to give your number
86. without reading that notice is when the organization you are dealing with
87. is not a part of the government.
88.  
89.              Why You May Want to Resist Requests for Your SSN
90.  
91. When you give out your number, you are providing access to information
92. about yourself.  You're providing access to information that you don't
93. have the ability or the legal right to correct or rebut.  You provide
94. access to data that is irrelevant to most transactions but that will
95. occasionally trigger prejudice.  Worst of all, since you provided the key,
96. (and did so "voluntarily") all the info discovered under your number will
97. be presumed to be true, about you, and relevant.
98.  
99. A major problem with the use of SSNs as identifiers is that it makes it
100. hard to control access to personal information.  Even assuming you want
101. someone to be able to find out some things about you, there's no reason to
102. believe that you want to make all records concerning yourself available.
103. When multiple record systems are all keyed by the same identifier, and all
104. are intended to be easily accessible to some users, it becomes difficult
105. to allow someone access to some of the information about a person while
106. restricting them to specific topics.
107.  
108. Unfortunately, far too many organizations assume that anyone who presents
109. your SSN must be you.  When more than one person uses the same number, it
110. clouds up the records.  If someone intended to hide their activities, it's
111. likely that it'll look bad on whichever record it shows up on.  When it
112. happens accidentally, it can be unexpected, embarrassing, or worse.  How
113. do you prove that you weren't the one using your number when the record
114. was made?
115.  
116. Simson Garfinkel put it very well in an article for CACM's "Inside Risks"
117. column in October, 1995.  His article started with the paragraph
118.  
119.     The problem with Social Security Numbers today is that some
120.     organizations are using these ubiquitous numbers for
121.     identification, others are using them for authentication, and
122.     still others are using them for both.
123.  
124. Simson went on to explain how the two uses are incompatible.  I recommend
125. the article.
126.  
127.  
128.                 What You Can Do to Protect Your Number
129.  
130. It's not a good idea to carry your SSN card with you (or other documents
131. that contain your SSN).  If you should lose your wallet or purse, your SSN
132. would make it easier for a thief to apply for credit in your name or
133. otherwise fraudulently use your number.  Some states that normally use
134. SSNs as the drivers license number will give you a different number if you
135. ask.  If your health insurance plan uses your SSN for an ID number, it's
136. probably on your insurance card.  If you are unable to get the insurance
137. plan to change your number, you may want to photocopy your card with your
138. SSN covered and carry the copy.  You can then give a health care provider
139. your number separately.
140.  
141. Here are some suggestions for negotiating with people who don't want to
142. give you what you want.  They work whether the problem has to do with SSNs
143. (your number is added to a database without your consent, someone refuses
144. to give you service without getting your number, etc.) or is any other
145. problem with a clerk or bureaucrat who doesn't want to do things any way
146. other than what works for 99% of the people they see.  Start politely,
147. explaining your position and expecting them to understand and cooperate.
148. If that doesn't work, there are several more things to try:
149.  
150. 1: Talk to people higher up in the organization.  This often works
151.         simply because the organization has a standard way of dealing
152.         with requests not to use the SSN, and the first person you deal
153.         with just hasn't been around long enough to know what it is.
154.  
155. 2: Enlist the aid of your employer.  You have to decide whether talking
156.         to someone in personnel, and possibly trying to change
157.         corporate policy is going to get back to your supervisor and
158.         affect your job.  The people in the personnel and benefits
159.         departments often carry a lot of weight when dealing with health
160.         insurance companies.
161.  
162. 3: Threaten to complain to a consumer affairs bureau.  Most newspapers
163.         can get a quick response.  Ask for their "Action Line" or
164.         equivalent.  If you're dealing with a local government agency,
165.         look in the state or local government section of the phone book
166.         under "consumer affairs."  If it's a federal agency, your
167.         congress member may be able to help.
168.  
169. 4: Insist that they document a corporate policy requiring the number.
170.         When someone can't find a written policy or doesn't want to
171.         push hard enough to get it, they'll often realize that they
172.         don't know what the policy is, and they've just been following
173.         tradition.
174.  
175. 5: Ask what they need it for and suggest alternatives.  If you're
176.         talking to someone who has some independence, and they'd like
177.         to help, they will sometimes admit that they know the reason
178.         the company wants it, and you can satisfy that requirement a
179.         different way.
180.  
181. 6: Tell them you'll take your business elsewhere (and follow through if
182.         they don't cooperate.)
183.  
184. 7: If it's a case where you've gotten service already, but someone
185.         insists that you have to provide your number in order to have a
186.         continuing relationship, you can choose to ignore the request
187.         in hopes that they'll forget or find another solution before
188.         you get tired of the interruption.
189.  
190.  
191.     How To Find Out If Someone Is Using Your Number
192.  
193. There are two good places to look to find out if someone else is using
194. your number: the Social Security Administration's (SSA) database, and your
195. credit report.  If anyone else used your number when applying for a job,
196. their earnings will appear under your name in the SSA's files.  If someone
197. uses your SSN (or name and address) to apply for credit, it will show up
198. in the files of the big three credit reporting agencies.
199.  
200. The Social Security Administration recommends that you request a copy of
201. your file from them every few years to make sure that your records are
202. correct (your income and "contributions" are being recorded for you, and
203. no one else's are.)  As a result of a recent court case, the SSA has
204. agreed to accept corrections of errors when there isn't any contradictory
205. evidence, SSA has records for the year before or after the error, and the
206. claimed earnings are consistent with earlier and later wages.  (San Jose
207. Mercury News, 5/14, 1992 p 6A) Call the Social Security Administration at
208. (800) 772-1213 and ask for Form 7004, (Request for Earnings and Benefit
209. Estimate Statement.)  The forms are available online at the SSA's website:
210. http://www.ssa.gov/online/forms.html.  You can also pick up a copy at any
211. office of the SSA.
212.  
213. Information about the credit reporting agencies is available in the Junk
214. Mail FAQ, and various other privacy-related FAQs.  Try looking at
215. http://www.cpsr.org/dox/program/privacy/privacy.html
216.  
217.  
218.            Choosing A Key For New Databases
219.  
220. Most organizations that have studied the issue have concluded that a
221. simple combination of Name, Address, and Phone number is usually
222. sufficient.  In cases where you are likely to be dealing with several
223. members of the same family (and thus Jr. and Sr. might have matching
224. records), you can add Date of Birth.  If the database saves an old address
225. and the date of the move, that will usually be sufficient to identify
226. particular clients uniquely.
227.  
228. If you're designing a database or have an existing one that currently uses
229. SSNs and want to use numbers other than SSNs, it's useful to have the
230. identifiers use some pattern other than 9 digits.  You can make them
231. longer or shorter than that, or include letters.  That way it won't be
232. mistaken for an SSN.
233.  
234. Robert Ellis Smith, the publisher of the Privacy Journal, recently asked
235. people to suggest alternatives to the SSN for indexing databases.  He
236. published some of the answers in Privacy Journal, and in the Computers
237. Privacy Digest, volume 9, #13 available at:
238. gopher://miller.cs.uwm.edu:70/.  (This is a gopher refernce, you have to
239. navigate manually to "Computers & Privacy Digest", then "Volume 9", then
240. "Number 13".) Other excerpts are available at EPIC.
241. (http://www.epic.org/privacy/ssn/alternatives_ssn.html)
242.  
243. Some of the qualities that are (often) useful in a key and that people
244. think they are getting from the SSN are uniqueness, universality,
245. security, and identification.  When designing a database, it is
246. instructive to consider which of these qualities are actually important in
247. your application; many designers assume unwisely that they are all useful
248. for every application, when in fact each is occasionally a drawback.  The
249. SSN provides none of them, so designs predicated on the assumption that it
250. does provide them will fail in a variety of ways.
251.  
252.  
253.  Uniqueness
254.  
255. Many people assume that Social Security Numbers are unique.  They were
256. intended by the Social Security Administration to be unique, but the SSA
257. didn't take sufficient precautions to ensure that it would be so.  They
258. have several times given a previously issued number to someone with the
259. same name and birth date as the original recipient, thinking it was the
260. same person asking again.  There are a few numbers that were used by
261. thousands of people because they were on sample cards shipped in wallets
262. by their manufacturers.  (One is given below.)
263.  
264. The passage of the Immigration reform law in 1986 caused an increase in
265. the duplicate use of SSNs.  Since the SSN is now required for employment,
266. illegal immigrants must find a valid name/SSN pair in order to fool the
267. INS and IRS long enough to collect a paycheck.  Using the SSN when you
268. can't cross-check your database with the SSA means you can count on
269. getting some false numbers mixed in with the good ones.
270.  
271.  Universality
272.  
273. Not everyone has a Social Security Number.  Foreigners are the primary
274. exception (though the SSA will now assign a number to a legal immigrant
275. without connecting that to the authority to work), but many children don't
276. get SSNs until they're in school (and some not until they get jobs).  They
277. were only designed to be able to cover people who were eligible for Social
278. Security.  If your database will keep records on organizations as well as
279. individuals, you should realize that they're not covered either.
280.  
281.  Identification
282.  
283. Few people ever ask to see an SSN card; they believe whatever you say.
284. The ability to recite nine digits provides little evidence that you're
285. associated with the number in anyone else's database.
286.  
287. There's little reason to carry your card with you anyway.  It isn't a good
288. form of identification, and if your wallet is lost or stolen, it provides
289. another way for the thief to hurt you.
290.  
291.  Security
292.  
293. Older cards are not at all forgery-resistant, even if anyone did ever ask
294. for it.  (Recently-issued cards are more resistant to forgery.)  The
295. numbers don't have any redundancy (no check-digits) so any 9-digit number
296. in the range of numbers that have been issued is a valid number.  It's
297. relatively easy to write down the number incorrectly, and there's no way
298. to tell that you've done so.
299.  
300. In most cases, there is no cross-checking that a number is valid.  Credit
301. card and checking account numbers are checked against a database almost
302. every time they are used.  If you write down someone's phone number
303. incorrectly, you find out the first time you try to use it.  An incorrect
304. SSN might go unnoticed for years in some databases.  In others it will
305. likely be caught at tax time, but could cause a variety of headaches.
306.  
307.  
308.                             Short History
309.  
310. Social Security numbers were introduced by the Social Security Act of
311. 1935.  They were originally intended to be used only by the social
312. security program.  In 1943 Roosevelt signed Executive Order 9397 which
313. required federal agencies to use the number when creating new
314. record-keeping systems.  In 1961 the IRS began to use it as a taxpayer ID
315. number.  The Privacy Act of 1974 required authorization for government
316. agencies to use SSNs in their data bases and required disclosures
317. (detailed below) when government agencies request the number.  Agencies
318. which were already using SSN as an identifier before January 1, 1975 were
319. allowed to continue using it.  The Tax Reform Act of 1976 gave authority
320. to state or local tax, welfare, driver's license, or motor vehicle
321. registration authorities to use the number in order to establish
322. identities.  The Privacy Protection Study Commission of 1977 recommended
323. that EO9397 be revoked after some agencies referred to it as their
324. authorization to use SSNs.  It hasn't been revoked, but no one seems to
325. have made new uses of the SSN recently and cited EO9397 as their sole
326. authority, either.
327.  
328. Several states use the SSN as a driver's license number, while others
329. record it on applications and store it in their database.  Some states
330. that routinely use it on the license will make up another number if you
331. insist.  According to the terms of the Privacy Act, any that have a space
332. for it on the application forms should have a disclosure notice.  Many
333. don't, and until someone takes them to court, they aren't likely to
334. change.
335.  
336.  
337.                 Dealing with Government Organizations
338.  
339. Surprisingly enough, government agencies are reasonably easy to deal with;
340. private organizations are much more troublesome.  Few agencies are allowed
341. to request the number, and all agences are required to give a disclosure
342. complete enough that you can find the law that empowers them.  There are
343. no comparable Federal laws either restricting the uses non-government
344. organizations can make of the SSN, or compelling them to tell you anything
345. about their plans.
346.  
347. Some states have recently enacted regulations on collection of SSNs by
348. private entities.  (Usually in cases of consumers making payments with
349. checks or credit cards.)  With private institutions, your main recourse is
350. refusing to do business with anyone whose terms you don't like.  They, in
351. turn, are allowed to refuse to deal with you on those terms.
352.  
353.  Public Schools
354.  
355. Public schools that accept federal funds are subject to the Family
356. Educational Rights and Privacy Act of 1974
357. http://www.cpsr.org/cpsr/privacy/law/education_records_privacy.txt
358. (It's also known as FERPA or the "Buckley Amendment") which prohibits
359. them from giving out personal information on students without permission.
360. There is an exception for directory information, which is limited to
361. names, addresses, and phone numbers, and another exception for release of
362. information to the parents of minors.  There is no exception for Social
363. Security Numbers, so covered Universities aren't allowed to reveal
364. students' numbers without their permission.  In addition, state
365. universities are bound by the requirements of the Privacy Act, (so they
366. have to give a Privacy Act notice if they ask for a SSN).  If they make
367. uses of the SSN which aren't covered by the disclosure they are in
368. violation.
369.  
370. The National Coalition of Advocates for Students (100 Boylston Street,
371. Suite 737, Boston, MA 02116, 617-357-8507) has some literature on what
372. information a school can ask you for based on a Supreme Court decision
373. [Plyler v. Doe [457 U.S. 202 (1982)] that held that requiring SSNs
374. from all students would discriminate illegally against undocumented
375. students.  Even if you are a citizen, this ruling prevents schools
376. from requiring your Social Security Number.
377.  
378.  
379.  US Passports
380.  
381. Some forms for applying for US Passports (DSP-11 12/87) request a Social
382. Security Number, but don't give enough information in their Privacy Act
383. notice to verify that the Passport office has the authority to request it.
384. There is a reference to "Federal Tax Law" and a misquotation of Section
385. 6039E of the 1986 Internal Revenue Code, claiming that that section
386. requires that you provide your name, mailing address, date of birth, and
387. Social Security Number.  The referenced section only requires TIN (SSN),
388. and it only requires that it be sent to the IRS (not to the Passport
389. office).  It appears that when you apply for a passport, you can refuse to
390. reveal your SSN to the passport office, and instead mail a notice to the
391. IRS, give only your SSN (other identifying info optional) and notify them
392. that you are applying for a passport.  Copies (in postscript) of the
393. letter that was used by one contributor can be found at
394. ftp://ftp.cpsr.org/cpsr/privacy/ssn/passport.ps.Z.  Other readers have
395. also used this technique successfully.
396.  
397. I've received several reports that a new printed version of the passport
398. application fixes the problems described above.  Apparently, these new
399. applications ask for SSN, but state that failure to provide it isn't
400. grounds to deny a passport.  It warns that the SSN is used to verify the
401. other information on the form, and processing of the application may be
402. delayed if the number is not provided.  Recent trips to my local Post
403. Office showed on the old forms.  There's another new version (DSP-11 1-94)
404. available now at the State department's web site
405. http://travel.state.gov/passport_services.html.  It has a different notice
406. that implies (in the same roundabout way) that the SSN is required by the
407. abovementioned laws, and says passports will be refused if the number is
408. not included.
409.  
410.  Requirement for Disclosing Employee's Children's SSNs Repealed
411.  
412. The Omnibus Budget Reconciliation Act of 1993 required all employers to
413. collect social security numbers for everyone covered by their health
414. plans, including all dependents.  After not being pursued actively by the
415. government for a few years, legislation (PL 104-226) was passed in
416. October, 1996 repealing the Medicare and Medicaid Coverage Data Bank.
417.  
418.  Children
419.  
420. The Family Support Act of 1988 (Pub. L. 100-485) requires states to
421. require parents to give their Social Security Numbers in order to get a
422. birth certificate issued for a newborn.  The law allows the requirement to
423. be waived for "good cause", but there's no indication of what may qualify.
424.  
425. Section 1615 of the Small Business Job Protection Act of 1996
426. strengthened the requirement for taxpayers to report SSNs for
427. dependents over one year of age when they are claimed as a deduction.
428. (H.R.3448, became PL104-188 8/20/96.
429. <http://thomas.loc.gov/cgi-bin/bdquery/z?d104:h.r.03448:>) The new law
430. allows the IRS to treat listing a dependent without including an SSN
431. as if it were an arithmetic error.  This apparently means that the
432. taxpayer isn't allowed to petition the tax court.
433.  
434.                            Private Organizations
435.  
436. The guidelines for dealing with non-governmental institutions are much
437. more tenuous than those for government departments.  Most of the time
438. private organizations that request your Social Security Number can get by
439. quite well without your number, and if you can find the right person to
440. negotiate with, they'll willingly admit it.  The problem is finding that
441. right person.  The person behind the counter is often told no more than
442. "get the customers to fill out the form completely."
443.  
444. Most of the time, you can convince them to use some other number.  Usually
445. the simplest way to refuse to give your Social Security Number is simply
446. to leave the appropriate space blank.  One of the times when this isn't a
447. strong enough statement of your desire to conceal your number is when
448. dealing with institutions which have direct contact with your employer.
449. Most employers have no policy against revealing your Social Security
450. Number; they apparently believe that it must be an unintentional slip when
451. an employee doesn't provide an SSN to everyone who asks.
452.  
453.     Employers
454.  
455. Employers are required by the IRS to get the SSNs of people they hire.
456. They often ask for it during the interview process, but there are good
457. reasons to refuse if you can afford to argue with the potential employer.
458. Some of them use the SSN to check credit records, to look for criminal
459. history, and otherwise to delve into your past in areas you might object
460. to.  Tell them you'll give them your SSN when you accept their offer.
461. They have no legitimate use for it before then.
462.  
463. At one point I needed a security badge from a company that wasn't my
464. employer (my employer was contracting to the host.)  The host company used
465. SSNs to do background checks on applicants for security badges.  I asked
466. if there was a way I could keep my SSN out of their database, and we
467. worked things out so I gave my number directly to the person who ran the
468. background check, and he used it for that and then destroyed it.  I may
469. have been the only person working at this very large company who didn't
470. have an SSN on file.
471.  
472.     Utilities
473.  
474. Public utilities (gas, electric, phone, etc.) are considered to be private
475. organizations under the laws regulating SSNs.  Most of the time they ask
476. for an SSN, and aren't prohibited from asking for it, but they'll usually
477. relent if you insist.  See the other suggestions above under "What you can
478. do to protect your number" for more ideas.
479.  
480.  Banks
481.  
482. Banks and various others are required by the IRS to report the SSNs of
483. account holders to whom they pay interest.  If you don't tell them your
484. number you will probably either be refused an account or be charged a
485. penalty such as withholding of taxes on your interest.  Most banks will
486. refuse to open safe deposit boxes without a SSN, though there is no direct
487. governmental requirement that they collect it.  One correspondent reported
488. that he was able to open a non-interest bearing account at a US bank by
489. presenting a passport and international driver's license.  (This
490. correspondent implied that it was a US passport.  You can get an
491. international driver's license at AAA.)
492.  
493. Many banks send the names, addresses, and SSNs of people whose accounts
494. have been closed for cause to a company called ChexSystem.  ChexSystem
495. keeps a database of people whose accounts have been terminated for fraud
496. or chronic insufficient funds in the past 5 years.  ChexSystems apparently
497. doesn't believe they are covered by the Fair Credit Reporting Act, as I
498. had earlier reported.  A few people have reported complete intransigence
499. on the part of Chexsystems, while others (who apparently received
500. cooperation from their banks or credit unions) have been able to get
501. Chexsystems to add annotations to their records that are accessible with
502. assistance from the consumer.  You can send a letter to ChexSystems
503. (Consumer Relations, 12005 Ford Road, Suite 650, Dallas, TX, 75234) if you
504. need to deal with them.
505.  
506. Many Banks, Brokerages, and other financial institutions have started
507. implementing automated systems to let you check your balance.  All too
508. often, they are using SSNs as the PIN that lets you get access to your
509. personal account information.  If your bank does this, write them a letter
510. pointing out how common it is for the people with whom you have financial
511. business to know your SSN.  Ask them to change your PIN, and if you feel
512. like doing a good deed, ask them to stop using the SSN as a default
513. identifier for their other customers.  Some customers will believe that
514. there's some security in it, and be insufficiently protective of their
515. account numbers.  Nearly every financial institution I have asked has been
516. willing to use a password I supplied.  (Fidelity was the exception.  I no
517. longer have any funds there.)  I don't know why they don't advertise this
518. rather than relying on the SSN.
519.  
520. Sometimes banks provide for a customer-supplied password, but are
521. reluctant to advertise it.  The only way to find out is to ask if they'll
522. let you provide a password.  (This is reportedly true of Citibank Visa,
523. for instance.  They ask for a phone number but are willing to accept any
524. password.)
525.  
526. When buying (or refinancing) a house, you have to give your SSN, because
527. the bank is required to report the interest you pay.  Most banks will now
528. ask for your Social Security Number on the Deed of Trust.  This is because
529. the Federal National Mortgage Association wants it.  The fine print in
530. their regulation admits that some consumers won't want to give their
531. number, and allows banks to leave it out when pressed.  [It first
532. recommends getting it on the loan note, but then admits that it's already
533. on various other forms that are a required part of the package, so they
534. already know it.  The Deed is a public document, so there are good reasons
535. to refuse to put it there, especially since all parties to the agreement
536. already have access to your number.]
537.  
538.  Insurers, Hospitals, Doctors
539.  
540. No laws require private medical service providers to use your Social
541. Security Number as an ID number.  They often use it because it's
542. convenient or because your employer uses it to identify employees to its
543. group's health plan.  In the latter case, you have to get your employer to
544. make an exception to their standard practices.  Often, the people who work
545. in personnel assume that the employer or insurance company requires use of
546. the SSN when that's not really the case.  When a previous employer asked
547. for my SSN for an insurance form, I asked them to find out if they had to
548. use it.  After a week they reported that the insurance company had gone
549. along with my request and told me what number to use.
550.  
551. Insurance companies often require the SSN for underwriting purposes, but
552. don't usually use it for underwriting personal property or personal auto
553. insurance policies.  You may be able to get them to leave the number out
554. of their data base, even if they want to use it when deciding whether to
555. cover you.  They may call every few years to ask for it again.
556.  
557. Insurance companies share information with one another that they have
558. collected while evaluating applications for life, health, or disability
559. insurance.  They do this by sending the information to an organization
560. called the Medical Information Bureau.  The information they share
561. includes test results and brief descriptions of conditions relevant to
562. health or longevity.  MIB rules prohibit the reporting of claims
563. information.  The MIB doesn't use the SSN as an identifier in their files,
564. and doesn't report SSNs when providing reports.  You can get a copy of
565. your MIB file by writing to Medical Information Bureau, P.O. Box 105,
566. Essex Station, Boston, MA 02112.  Their phone number is (617)426-3660.
567.  
568. If an insurance agent asks for your Social Security Number in order to
569. "check your credit", point out that the contract is invalid if your check
570. bounces or your payment is late.  Insurance is always prepaid, so they
571. don't need to know what your credit is like, just whether your check
572. cleared.
573.  
574.  Blood banks
575.  
576. Blood banks also ask for the number but are willing to do without if
577. pressed on the issue.  After I asked politely and persistently, the
578. (non-Red Cross) blood bank I go to agreed that they didn't have any use
579. for the number.  They've now expunged my SSN from their database, and they
580. seem to have taught their receptionists not to request the number.  I've
581. gotten one report that some branches of the Red Cross will issue a "file
582. number" in lieu of your SSN if you insist.  It's probably the case that
583. not all branches (and especially not all receptionists) know about this
584. possibility, so it will pay to be persistent.
585.  
586. Blood banks have changed their policies back and forth a few times in the
587. last several years.  When the AIDS epidemic first hit, they started using
588. SSNs to identify all donors, so someone who was identified as HIV-positive
589. at one blood bank wouldn't be able to contaminate the blood supply by
590. donating at a different site.  For a few years, they were a little looser,
591. and though they usually asked for SSNs, some would allow you to donate if
592. you provided proof of your identity.  (I showed a Driver's license, but
593. didn't let them copy down the number.)  Now the Federal Government has
594. declared blood banks to be "manufacturers" of a medical product, and
595. imposed various Quality Control processes on them.
596.  
597. The Blood bank I go to now asks for SSNs, and if you refuse, allows you to
598. give a Driver's License number.  I balked at that, since I hadn't had to
599. give it before.  They let me donate, but while I was eating cookies, the
600. director of Quality Control came down and talked to me.  After a little
601. bit of discussion, she was satisfied to have me pick an ID number that I
602. promised to remember and provide when I visisted again.  So, once again,
603. if you want to protect your SSN and your privacy, it pays to push back
604. when they ask.
605.  
606.  Landlords
607.  
608. Landlords often request SSNs from prospective tenants.  There are two
609. things they usually want it for: a credit check, and in some parts of the
610. country, landlords apparently have access to a database of "bad tenants"
611. as reported by other landlords.  There don't seem to be any laws
612. restricting the use of these kinds of databases, which leaves renters in a
613. precarious situation.  If a landlord makes a mistake, or a prior tenant
614. gave an incorrect number, the prospective tenant may be unable to find out
615. why no landlord will rent to him or her.
616.  
617. The applicant can refuse to supply the number, but in a seller's market,
618. the landlord often has many other applicants to choose from.  There aren't
619. many avenues of recourse, except to politely inquire if the landlord will
620. accept a letter of reference from a previous landlord or if there are
621. other ways that you can demonstrate your creditworthiness.  The tenant is
622. almost powerless if the landlord doesn't want to go along.
623.  
624.  
625.     Using a False Social Security Number
626.  
627.  
628. If someone absolutely insists on getting your Social Security Number, you
629. may want to give a fake number.  I have never needed to give a fake
630. number; at least one of the remedies described above has always worked for
631. me.  There *are* legal penalties for providing a false number when you
632. expect to gain some benefit from it.  For example, a federal court of
633. appeals ruled that using a false SSN to get a Driver's License violates
634. federal law.
635.  
636. Making a 9-digit number up at random is a bad idea, as it may coincide
637. with someone's real number and cause them some amount of grief.  It's
638. better to use a number like 078-05-1120, which was printed on "sample"
639. cards inserted in thousands of new wallets sold in the 40's and 50's.
640. It's been used so widely that both the IRS and SSA recognize it
641. immediately as bogus, while most clerks haven't heard of it.  There were
642. at least 40 different people in the Selective Service database at one
643. point who gave this number as their SSN.  The Social Security
644. Administration recommends that people showing Social Security cards in
645. advertisements use numbers in the range 987-65-4320 through 987-65-4329.
646.  
647. There are several patterns that have never been assigned, and which
648. therefore don't conflict with anyone's real number.  They include numbers
649. with any field all zeroes, and numbers with a first digit of 8 or 9.  For
650. more details on the structure of SSNs and how they are assigned, see
651. http://www.cpsr.org/cpsr/privacy/ssn/ssn.structure.html.
652.  
653. Giving a number with an unused pattern rather than your own number isn't
654. very useful if there's anything serious at stake since it's likely to be
655. noticed.
656.  
657.  
658.  
659.                        Collecting SSNs yourself
660.  
661. There aren't any federal laws that explicitly forbid the collection of
662. SSNs.  However, there is a body of law, intended to prohibit the misuse of
663. credit cards, that is written vaguely enough that it could be interpreted
664. to cover personal collections of SSNs.  The laws are at 18 USC 1029, and
665. cover what is called "access device fraud."  An access device is "any
666. card, plate, code, account number or other means of access that can be
667. used, alone or in conjunction with another access device, to obtain money,
668. goods, services, or any other thing of value, or that can be used to
669. initiate a transfer of value."  The law forbids the possession, "knowingly
670. and with intent to defraud" of fifteen or more devices which are
671. counterfeit or unauthorized access devices."  If interstate commerce is
672. involved, penalties are up to $10,000 and 10 years in prison.
673.  
674.  
675.     Retrieving the SSN FAQ and related documents
676.  
677. The SSN FAQ is available from two places: rtfm.mit.edu (by FTP or EMail),
678. or cpsr.org (by FTP or http).  The html version is at cpsr.org, and
679. includes links to SSN-related info which has been omitted from the text
680. version.  The text version is at MIT.
681.  
682. The URLs are:
683.     http://cpsr.org/cpsr/privacy/ssn/ssn.faq.html
684.     ftp://cpsr.org/ftp/cpsr/privacy/ssn
685.     ftp://rtfm.mit.edu/pub/usenet-by-hierarchy/news/answers/privacy/ssn-faq
686.  
687.     WWW   (HTTP)
688. There is a more comprehensive privacy page at CPSR (which points at
689. both the SSN and junk mail FAQs).  It's at:
690.    http://www.cpsr.org/dox/program/privacy/privacy.html.
691.  
692.     EMail
693. You can get the latest version of the SSN FAQ (the text version) by
694. sending mail to mail-server@rtfm.mit.edu with
695.     send usenet-by-hierarchy/news/answers/privacy/ssn-faq
696. as the sole contents of the body.  Send a message containing "help" to get
697. general information about the mail server.
698.  
699. cpsr.org has other resources on privacy, SSNs, and related subjects.
700. Other directories contain information on pending legislation, the 1st
701. amendment, computer security, cryptography, FOIA, NII, and CPSR.
702.  
703. other Privacy-related Resources
704.     http://www.cpsr.org/dox/program/privacy/privacy.html
705.     http://www.epic.org/privacy/ssn
706.     http://www.epic.org/privacy/
707.  
708. If you have suggestions for improving this document please send them to me:
709.                                        Chris Hibbert
710. hibbert@netcom.com        or           1195 Andre Ave.
711.                                        Mountain View, CA 94040
712.  
713.  
714.  
715. -----BEGIN PGP SIGNATURE-----
716. Version: 2.6
717.  
718. iQCVAwUBM0b0sqMpMwZ0adT9AQHjXwP6Aq2A3ZRp98auBgOo0Hb5VAMIXznrvWMg
719. JZ5rnAiKyCNLzhRICHNPeRDLRuONcjWB3bOTAvY+paw1YlvFtIiCKYUoaYSN2YW0
720. m+4RfMiOuQcS2pHE6f32jQsy1uvDDeQIu/bATfcjHRTsnhTev/1JkJRBdde1lm5A
721. h2rTX53EG+0=
722. =8jJj
723. -----END PGP SIGNATURE-----
724.