米妈妈2018-12-05 19:46:12

本人现在被学校Information Security调查(至少两个不同的调查)。现在想想就是自己性格太急了。2个半月过去了,涉及的事情和人比较多,还请各位耐心看完。

事件起源于学校邮箱O365网络版附件粘贴问题。我不小心在邮件草稿上传了一个带有学生信息的附件(信息按学校规定属于directory information,不属于confidential信息),预览的时候发现了问题,就重新存了一个空表格不含任何个人信息的。把错的那个删除,又上传了空的表格。但第一次没删成功,又回来了,于是又删除并且上传来了一遍。在按发送键之前,我看的清清楚楚里面只有一个附件,并且预览看了文件是不含个人信息的。但发生完以后发现发件箱里的邮件把三个附件都保持下来并发送出去了。

于是我就发email给收件人(也是学生),告诉他email系统问题,系统保存并发送了两个应该删掉的文件。让他不要看删除前两个附件。

因为学生没回复,我比较着急。先是设置MS outlook recall。因为google说不一定能成功。就找学校Help Desk描述了问题发生的过程,因为邮件有学生信息(没说confidential)要求帮忙把邮件recall。因为收件人也是学校邮箱。中间打了几个电话,也去图书馆他们的desk问了。因为图书馆help desk没有权限,让电话那边的help desk帮忙。因为下班时间,那边接线的人找不到有权限的人,我就比较急,说怕等到学生看了邮件会complain。可能是我pushing了一点(因为我真的着急),她说I am doing my job。我就高高兴兴回家了。

回到家收到一个email,说creation of service request, subject line是“professor sent confidential information to a student in an email“,里面有我的信息,receipient信息,email发送时间点。我一下觉得题目很离谱,连忙会email解释里面没有confidential information, 只有directory information as defined by the university, 并且是因为学校邮件系统的问题。

当天晚上,收件人学生就回邮件说他删除了前两个附件没有看任何信息。我知道事情至此就是我自己太着急,把事情弄大了。

因为这封邮件,Information Security对我启动了两项调查,一个他们说怀疑邮件有SSN。过了一个多月,他们又开始另一项调查,从我们dean到系主任,到office manager,问SSN收集的各种问题,说州法律有明文prohibited use。我们介绍我们是给account receivable收集用来billing的。他们发给我州法律,但不是学校网上的内部规定。现在,已经过了2个半月了,很多地方让人怀疑他们的目的:

1. 但他们从来没有跟我要过邮件,就算我说我可以发给他们,他们ignore我的offer。

2. 学校内部规定明确学校要给employees identified as having access to SSN training。并且,training是州法律明确要求的。但他们从来没提过有这样的training。后来,我发现我们office manager(管招人的SSN paper work)的,也没有接受过training。我们就以系里的名义要求training asap,他们一直ignore我们的要求。

3. 他们ignore我report的O365 email attachment的问题。中间有个director说他们有server log,拿到了可以给我看,后来我要,又说没有。

4. 我要去他们help desk录音(for quality assurance purposes),他们也说没有。

5. 另外,我们要求他们对我们collection提供建议,他们说在collect information.

6. 因为过了2个半月了,邮件的问题其实很简单,他们跟我要,和server上的对一下,就能确定没有confidential信息了。我就问你们需不需要我发给你们邮件,他们ignore。我又说,为了address volnerability,是不是最好给我们training。他们ignore training的事。

7. 我说全校很多unit collect SSN的,如果要查我们unit,是不是要公平的一起查。其实,学校关于confidential信息管理很混乱,人事部都在网上列出email、fax收集W4表的,黑客要hack, 都能知道哪个邮箱有。International office跟我们和国内学者要证件,都是email要的。所以,他们问我们怎么收集SSN表格(明确问是email,in person, fax or mail),我说90%当面收的,其他客户没法当面过来就email和mail(就像人事部收集W4一样)。

后来我才发现,service request的statement按照我们州立法,如果邮件里面没有confidential information, 这句话明确属于Defamation Per Se。这也许是他们不看邮件,不给结论的原因。但是,他们的第二个investigation,感觉就是为了找我哪儿不对。

因为Service desk, Information Security都属于DoIT, 他们感觉故意ignore跟他们部门职责有关的事情:邮件系统malfunction, service ticket defamation, SSN training. 而且,“professor sent confidential information to a student in an email”明显是一个malicious不符合内部规定的statement,看上去就是newspaper的headline。因为我描述的是O365故障,从来没有说confidential information。

说实话,说这个事情没有种族歧视,我打死都不相信。总体感觉就是幸亏自己没有做什么徇私犯罪的事情,否则人家能把我们搞死。

因为我非常害怕,感觉整个procedure没有governance可言。感觉他们可以想说我什么就说什么,不需要承担任何后果,我什么都没有做错,他们可以想开启多少个调查就开多少个,想调查多久就调查多久。我们校长刚上任的,以governance和transparency作为主要纲领的。所以,我就发email表示了上述confusion和concern,并且也联系了我们union。

校长打电话给legal counsel的acting VP说让他跟我电话或会面,他们想知道到底发生了什么以及我的experiences。但是,union建议不要去,怕引出更多的investigation. 我说我没有做错任何事情,我为学校收集SSN,所有收集的SSN都在account receivable的系统。他们不告诉我州立法规定要SSNtraining, 我如果知道有立法并且没被training, 肯定不会去同意参与收集的。union说万一真有违背法律的地方,不懂法不能作为理由的。

其实这个问题很简单,就是Service desk的人故意整我。只要学校承认email没有confidential information, email statement就是Defamation Per Se。但是,他们就是找借口做各种investigations, 即使没有找到任何我犯错或违法的indication.

我并不想告学校Defamation Per Se,但是真的不知道怎样才能让这个不公平的invesgitations结束。我查了,Defamation Per Se根据州法只有1年的Statute of Limitations。这个statement是Service desk所有员工和Information Security都能看到的。我不知道是不是需要请律师主动提告,还是跟union,看学校真discipline再上诉。但我到现在都想不明白怎么能有discipline。感觉我好像真的犯了什么法一样。这事情明明是defamation开始的,没有任何just cause调查我。

因为这个事件牵连到多方利益(学校感觉过去一直没有SSNtraining,这是违法的),不知道怎样我自己伤害最小。我只是希望他们能停止查我。关于2个调查,第一个调查最近Information Security告诉我**unofficial findings of no breach with the email being sent** (他们就想避开邮件是否有confidential信息的问题),第二个调查什么信息都没给。但是电话说是调查procedure不是我,欢迎我随时打电话给他们,还给我调查人的个人电话。说一个同事父亲去世才拖了2个月。我查了州法,发现对方不知情的情况下电话录音犯法,才理解他们为什么电话什么都敢说。

 

hello20022018-12-05 19:56:04
你想问什么?人家调查还没结束,你手上没有证据,想告也告不起来。
米妈妈2018-12-05 20:00:54
不想把事情扯大,算了吧
柠檬椰子汁2018-12-05 20:18:19
relax, you don't suffer any damage.
hello20022018-12-05 20:25:32
刚说了不要删帖的。。。
米妈妈2018-12-05 20:26:18
谢谢柠檬!因为没被调查过,也不知道他们想干什么。心理压力总是有的。当信息不对称的时候总是害怕的:)
柠檬椰子汁2018-12-05 20:50:32
不要自己吓唬自己
米妈妈2018-12-05 21:01:29
有道理,我是应该听我家领导先去教会学习。哪天被控了再去请律师:-)