home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 772.CPD336.TXT < prev    next >
Text File  |  1993-09-19  |  20KB  |  402 lines

  1.  
  2. Computer Privacy Digest Sat, 18 Sep 93              Volume 3 : Issue: 036
  3.  
  4. Today's Topics:                Moderator: Dennis G. Rears
  5.  
  6.                Family Educational Rights and Privacy Act
  7.                          John misses the point
  8.                     Re: About Selling Phone Numbers
  9.                         Re: Something to Consider
  10.  
  11.    The Computer Privacy Digest is a forum for discussion on the
  12.   effect of technology on privacy.  The digest is moderated and
  13.   gatewayed into the USENET newsgroup comp.society.privacy
  14.   (Moderated).  Submissions should be sent to
  15.   comp-privacy@pica.army.mil and administrative requests to
  16.   comp-privacy-request@pica.army.mil.
  17.    Back issues are available via anonymous ftp on ftp.pica.army.mil
  18.   [129.139.160.133].
  19. ----------------------------------------------------------------------
  20.  
  21. From: merlin <merlin@neuro.usc.edu>
  22. Newsgroups: comp.society.privacy,alt.privacy
  23. Subject: Family Educational Rights and Privacy Act
  24. Date: 17 Sep 1993 09:52:22 -0700
  25. Organization: University of Southern California, Los Angeles, CA
  26.  
  27.  
  28. My campus housing office disclosed my name, address, social security
  29. number, and other non-directory information to a private third party
  30. commercial long distance telephone carrier in order to help this 3rd
  31. party long distance carrier replace Pacific Telephone as the carrier
  32. for all students in campus dorms/apartments.
  33.  
  34. When I complained that such disclosure violated the FERP our general
  35. counsel replied that (1) the 3rd party long distance carrier signed a
  36. confidentiality agreement and (2) the 3rd party long distance carrier
  37. was acting as an 'agent' of the university.
  38.  
  39. It seems to me this disclosure is forbidden by the FERP -- the campus
  40. knows it violated the FERP -- and is trying to get out of it by using
  41. the claim that the 3rd party carrier is an 'agent' of the campus.
  42.  
  43. Does anyone on the network know the FERP well -- maybe to the point of
  44. representing usc dorm students in administrative complaint and/or some
  45. followon lawsuit for willfully continuing to disclose this information
  46. to an inappropriate 3rd party long distance telephone carrier?
  47.  
  48. >>My campus housing office disclosed my name, address,
  49. >This is definitely directory information.
  50.  
  51. I specifically requested nondisclosure of even directory information -- so
  52. the disclosure of this information is against the act.
  53.  
  54. >>social security number
  55.  
  56. The campus identifies SSAN as nondirectory information.  Moreover, neither
  57. the statute or the implementing regulations in the CFR's identify SSAN as
  58. potential directory information.  I believe everyone would agree SSAN is
  59. not in the category of directory information.
  60.  
  61. >Incidentally, how do you know that they have this information?  Did they send
  62. >you a form with your SS # on it or something?
  63.  
  64. I called Sunbelt Computer Systems home office in Phonenix AZ before they opened 
  65. an office under the pseudonym Student Telephone Services on campus -- and they
  66. identified me by social security number and told me they were provided my SSAN
  67. by the USC Housing & Residence Halls office.
  68.  
  69. Also, on the back of the telephone authorization code/credit card sent to me by 
  70. Student Telephone Services (a.k.a. Sunbelt Computer Systems) is the statement:
  71.  
  72.     "REMEMBER: Your student identification number serves 
  73.     as your account number."
  74.  
  75. Clearly SCS/STS/HTS (whatever else this third party long distance carrier wants
  76. to be called) acquired, used, and intended to continue using student ID numbers
  77. (which on our campus are almost exclusively social security account numbers) as
  78. their own internal account number for student long distance telephone accounts.
  79.  
  80. >What other information did they disclose?  I could hardly imagine any other
  81. >non-directory information that would be of interest to long distance carrier.
  82.  
  83. Other minutia -- financial records and the like.
  84.  
  85. >>When I complained that such disclosure violated the FERP our general
  86. >>counsel replied that (1) the 3rd party long distance carrier signed a
  87. >>confidentiality agreement and (2) the 3rd party long distance carrier
  88. >>was acting as an 'agent' of the university.
  89. >
  90. >Well, (2) sounds like garbage, but neither sounds like the counsel was
  91. >necessarily admitting a violation of FERPA.  Schools do have lattitude
  92. >in decidening whether or not to disclose directory information.  He may
  93. >have been explaining their reasons for disclosing directory information.
  94. >(And in any case, he likely just figured that he was calming some crazy
  95. >student, rather than framing a legal position.  Don't assume that they
  96. >respect you enough at the outset to pay serious attention to you...)
  97. >
  98. >It would certainly be very stupid for an attorney to admit such a
  99. >violation--not to mention that school's are usually pretty careful about
  100. >FERPA, in the first place.
  101. >
  102. >I'd like to hear just what information was disclosed, and find out about
  103. >any relevant interpretations of "directory information" before drawing
  104. >a conclusion as to whether or not the school actually violated FERPA.
  105. >
  106. >By the way, how did you manage to talk with the school's attorney?  It seems
  107. >awfully strange for you to be dealing with the school's attorney, rather
  108. >than with an administrator.
  109.  
  110. Quote from 7/23/93 letter from Mr. Jeffrey Urdahl (USC Director Housing and 
  111. Residence Halls) to A. J. Annala (Student in USC Graduate Student Apartments):
  112.  
  113.    "I share your concerns regarding disclosure of student information
  114.    to non-University entities.  In discussion with the General Counsel's 
  115.    office, it was determined that the release of information for telephone 
  116.    services to Sunbelt Computer Systems would in fact be legal as they are 
  117.    acting as an agent of the University.  In addition, they signed a 
  118.    confidentiality agreement that we maintain in our files.  Therefore, 
  119.    release of this information was seen as within the requirements of the 
  120.    Student Educational Rights and Privacy Act."
  121.  
  122. So, I dealt with an administrator who relayed counsel's opinion.  Another
  123. administrator (Associate Registrar) wrote:
  124.  
  125.    "The release of SSN is, of course, prohibited."
  126.  
  127. All in all, I'll confine my complaint to disclosure of SSAN, which admittedly
  128. occurred, continues to occur because the campus insists SCS is an agent of the
  129. campus, and appears to be a clean cut violation of the FERP.
  130.  
  131. So, I wrote to the housing director.  I also wrote back to the registrar.
  132. I don't know what else I should do.
  133.  
  134.  --------------------------------------------------------------------------
  135.  
  136. Mr. Urdahl,
  137.  
  138. Here is a copy of the portion of federal law (United States Code) which
  139. spells out the only individuals, agencies, or organizations to which you
  140. may disclose student records without a written request from the student
  141. [or the parents of the student] subject of the record to be disclosed.
  142.  
  143. It is my understanding that Sunbelt Computer Systems (a.k.a. USC Student
  144. Telephone Services) is solely concerned with the sale of long distance
  145. telephone service.  SCS is not involved in the maintenance of telephone
  146. equipment at the USC campus.  SCS has no purpose for accessing student
  147. records other than to facilitate their attempt to replace Pacific Bell 
  148. and AT&T as the long distance carriers for the students identified in
  149. the student records transmitted to SCS by Mr. Jeffrey Urdahl's office.  
  150.  
  151. Would you please indicate, among the categories identified below, which
  152. category includes SCS -- and therefore would authorize the disclosure
  153. of student records (including social security number) to SCS?  It would
  154. seem to me, given the very restricted nature of this list, that SCS is
  155. not authorized to receive student records under any circumstances.  If
  156. it is claimed that SCS falls under subsection (1)(A) would you please
  157. state the "legitimate educational interests" served by the disclosures.
  158.  
  159. Also, under section (4)(A) below, you are required to "maintain a record,
  160. kept with the education records of each student, which will indicate all
  161. individuals (other than those specified in paragraph (1)(A) of this
  162. subsection), agencies, or organizations which have requested or obtained
  163. access to a student's education records maintained by such educational
  164. agency or institution, and which will indicate specifically the legitimate
  165. interest that each such person, agency, or organization has in obtaining
  166. this information."  I hereby request a copy of this record for release of
  167. all information from my student records [particularly records maintained
  168. under Mr. Jeffrey Urdahl's jurisdiction] to any third party not identified
  169. in subsection (1)(A) of the Family Educational Rights and Privacy Act.
  170.  
  171. Thanks, AJ Annala
  172.  
  173. cc:  Mr. Morley
  174.  
  175. n.b.  I am not interested in filing a complaint with the US Department
  176. of Education.  I do, however, believe the campus made a mistake in the
  177. disclosure of student records to SCS -- and -- that it is incumbent on
  178. the campus to retrieve those records to rectify this situation.  If it
  179. is not possible to do this then it would seem the campus is supporting
  180. a policy of permitting the release of student records against the Act.
  181. The potential penalty could be the removal of Department of Education
  182. funding from the campus -- an undesirable outcome for all concerned.
  183.  
  184.  --------------------------------------------------------------------------
  185. 20 USC 1232g.  Family educational and privacy rights [Buckley Amendment]
  186.  
  187.    (1) No funds shall be made available under any applicable program to
  188. any educational agency or institution which has a policy or practice of
  189. permitting the release of educational records (or personally identifiable
  190. information contained therein other than directory information, as
  191. defined in paragraph (5) of subsection (a)) of students without the
  192. written consent of their parents [or students] to any individual, agency, 
  193. or organization, other than to the following--
  194.  
  195.    (A) other school officials, including teachers within the educational
  196. institution or local educational agency, who have been determined by such
  197. agency or institution to have legitimate educational interests;
  198.  
  199.    (B) officials of other schools or school systems in which the student
  200. seeks or intends to enroll, upon condition that the student's parents be
  201. notified of the transfer, receive a copy of the record if desired, and
  202. have an opportunity for a hearing to challenge the content of the record;
  203.  
  204.    (C) authorized representatives of (i) the Comptroller General of the
  205. United States, (ii) the Secretary, (iii) an administrative head of an
  206. educational agency (as defined in section 408(c) , or (iv) State
  207. educational authorities, under the conditions set forth in paragraph (3)
  208. of this subsection;
  209.  
  210.    (D) in connection with a student's application for, or receipt of,
  211. financial aid;
  212.  
  213.    (E) State and local officials or authorities to whom such information
  214. is specifically required to be reported or disclosed pursuant to State
  215. statute adopted prior to November 19, 1974;
  216.  
  217.    (F) organizations conducting studies for, or on behalf of, educational
  218. agencies or institutions for the purpose of developing, validating, or
  219. administering predictive tests, administering student aid programs, and
  220. improving instruction, if such studies are conducted in such a manner as
  221. will not permit the personal identification of students and their parents
  222. by persons other than representatives of such organizations and such
  223. information will be destroyed when no longer needed for the purpose for
  224. which it is conducted;
  225.  
  226.    (G) accrediting organizations in order to carry out their accrediting
  227. functions;
  228.  
  229.    (H) parents of a dependent student of such parents, as defined in
  230. section 152 of the Internal Revenue Code of 1954;  and
  231.  
  232.    (I) subject to regulations of the Secretary, in connection with an
  233. emergency, appropriate persons if the knowledge of such information is
  234. necessary to protect the health or safety of the student or other persons.
  235.  --------------------------------------------------------------------------
  236.  
  237.  
  238.    (4) (A) Each educational agency or institution shall maintain a
  239. record, kept with the education records of each student, which will
  240. indicate all individuals (other than those specified in paragraph (1)(A)
  241. of this subsection), agencies, or organizations which have requested or
  242. obtained access to a student's education records maintained by such
  243. educational agency or institution, and which will indicate specifically
  244. the legitimate interest that each such person, agency, or organization
  245. has in obtaining this information.  Such record of access shall be
  246. available only to parents, to the school official and his assistants who
  247. are responsible for the custody of such records, and to persons or
  248. organizations authorized in, and under the conditions of, clauses (A) and
  249. (C) of paragraph (1) as a means of auditing the operation of the system.
  250.  
  251.  --------------------------------------------------------------------------
  252.  
  253.  
  254. ------------------------------
  255.  
  256. Date: Fri, 17 Sep 1993 10:15:08 -0700 (PDT)
  257. From: Dave Ptasnik <davep@cac.washington.edu>
  258. Subject: John misses the point
  259.  
  260. > From: John Higdon <john@zygot.ati.com>
  261. > Organization: Green Hills and Cows
  262. > Subject: Re:  ANI
  263. > All the verbage aside, this is what seems to bother you a great deal.
  264. > Tell me, why is it that you seem to feel it so threatened that an entity
  265. > that you call who pays for that call know who you are? 
  266.  
  267. > I am interested in YOUR reasons for having an abhorrance for
  268. > letting a business that YOU elect to contact know anything at all about
  269. > the person doing the contacting.
  270.  
  271.    It should be enough that many people feel that it is an invasion of
  272. privacy for it to be considered just that.  While I am not the person
  273. of whom John asked this question I will give my answer.  My
  274. mother-in-law has cancer.  If I call a medical information information
  275. service at a hospital, and that service is paid for by a health
  276. insurance company, I am concerned that the health insurance company
  277. will keep track of all phone numbers that access cancer information.
  278. Once the insurance company has a database of callers to a cancer
  279. hotline, it is very easy to compare that list to the phone numbers of
  280. new applicants for coverage.  Even though I don't have cancer, and am
  281. not genetically related to anyone who does, now I have a problem
  282. because I made the call.  The insurance company isn't selling the list,
  283. they aren't calling for new customers, it is unlikely that anyone will
  284. ever know why their application for insurance was denied, or why they
  285. were asked to take lots of tests before being accepted.  Granted this
  286. method of screening is not perfect.  The data ages very rapidly.  There
  287. are lots of ways around this if you suspect it is happening.  Still, I
  288. think it is a legitimate reason for me to resist giving out my phone
  289. number when I call that kind of info serivce.  I feel like I am paying
  290. for the service by having to listen to the inevitable commercials you
  291. hear with that sort of thing.
  292.  
  293. If the service chooses to reject calls from blocked numbers, that is their
  294. privilege.
  295.  
  296. > The custom and usage of caller anonymity, a legacy of the limited
  297. > technology of the past, will die hard. 
  298.  
  299. John, you are the one who wants to limit technology.  The technology
  300. exists to send Caller ID and/or ANI.  The technology exists to prevent
  301. the sending of both or either.  The technology exists to reject blocked
  302. calls.  I suggest we put all of these technologies into the
  303. marketplace, there are customers for all of them.  I'm sorry that you
  304. feel that the technologies that I like decrease the value of the
  305. technologies that you like, but I resent your telling me that I should
  306. not have blocking, just because you want my phone number.
  307.  
  308. John, I'm truly sorry that PacBell decided not to give you access to
  309. this latest technological terror.  I have often heard you support
  310. divestiture (as do I).  When we get competition at the local level, you
  311. will get your Caller ID, maybe even true ANI.  Some of us will probably
  312. block our numbers when we call you.  But just because PacBell did not
  313. give you what you wanted, citing the reason of required blocking for
  314. their refusal to offer Caller-ID, does not mean that blocking is a bad
  315. idea, or that it is the fault of privacy advocates that you did not get
  316. what you wanted.  I think you can more squarely place the blame on
  317. PacBell for their desire to be controlling and manipulative, interested
  318. in their own pocketbooks to the exclusion of the deisres of thier
  319. customers.  An inexcusable attitude from a regulated monopoly.
  320.  
  321. For all of you out there with door and peephole analogies, I retain my
  322. privilege of putting my thumb over the hole when I knock.  You retain the
  323. privilege of not opening the door.  Should I become obnoxious on your
  324. front porch, you can always call the cops.
  325.  
  326. > As the knee-jerk reactions to
  327. > anything that threatens the status quo subside, we may all eventually
  328. > look back on this era with great amusement.
  329.  
  330. I agree with that, but I do wonder who will be getting laughed at.
  331.  
  332. Get the point John.  When you get the features you want, don't attempt to
  333. deny me the features I want.  I want the freedom to call without
  334. identifying myself.  I do not want you to force me to send my number.  If
  335. you don't like the way I call you, I would never dream of forcing you to
  336. answer.
  337.  
  338.  
  339. ------------------------------
  340.  
  341. From: Ed Ravin <eravin@panix.com>
  342. Subject: Re: About Selling Phone Numbers
  343. Date: 17 Sep 1993 13:10:56 -0400
  344. Organization: Not Just Another Pretty Face
  345.  
  346. In article <comp-privacy3.35.1@pica.army.mil>,
  347. Carl Oppedahl  <oppedahl@panix.com> wrote:
  348.  
  349. >>Two days after getting a new phone line here in Tucson, the local paper
  350. >>was calling to "FIRST, welcome me to my new neighborhood, and SECOND..."
  351. >>of course they wanted me to buy their paper.  
  352. >
  353. >Yes, most telcos peddle lists of people who have just gotten new
  354. >service, and you can be sure they are very popular among many service
  355. >industries including newspaper delivery.
  356.  
  357. But let's not forget the biggest offender in this department: the US
  358. Postal Service.  When you file a change-of-address, it immediately
  359. gets delivered to a whole bunch of junk mail lists.  The junk mail at
  360. your new address often gets there before you do.
  361. -- 
  362. Ed Ravin            | 
  363. eravin@panix.com    |  "The cockroach is very advanced politically -- not
  364. elr@trintex.uucp    |   one cockroach in America voted for Ronald Reagan."
  365. +1 914 993 4737     |                    ---- Professor Louie
  366.  
  367. ------------------------------
  368.  
  369. Date:     Fri, 17 Sep 93 10:18:00 EDT
  370. From:     Brinton Cooper <abc@arl.army.mil>
  371. Subject:  Re: Something to Consider
  372. Organization:  The US Army Research Laboratory
  373.  
  374.  
  375. Kirsi M. Vivolin <vivo@hardy.u.washington.edu> discussed the well-known
  376. risks (see Risks-Digest archives for complete discussions on the topic)
  377. of pooled databases by phone companies, credit organizations, etc.  She
  378. says, in part:
  379.  
  380. | On the other hand, if data from many different points starts converging
  381. |into one database, privacy becomes impacted. Not only can we expect
  382. |this to happen(it is happening now), but we can expect little guidance
  383. |from the existing body of law, simply because there has never been any
  384. |precedent to this.
  385. |
  386. Notice how she slipped in "(it is happening now)" near the end of the
  387. posting.  A key point in the ANI debate on this forum is whether "it" is
  388. happening or not.  If corporations are collecting ANI data and using it
  389. for nefarious reasons, let's have at least one concrete example, rather
  390. than a litany of what "could" happen.  Let's not suggest legislating as
  391. illegal acts which haven't yet been observed.
  392.  
  393. _Brint
  394.  
  395.  
  396. ------------------------------
  397.  
  398.  
  399. End of Computer Privacy Digest V3 #036
  400. ******************************
  401.