近几年，很多主要数据泄露事故最终会面临集体诉讼，而几乎在所有情况下，这些诉讼最终结果是企业与原告达成庭外和解。作为首席信息安全官，你是否认为庭外和解是最好的办法？对于数据泄露事故，企业是否应该对诉讼做好准备？如果是的话，他们应如何做准备？

Mike O. Villegas：大多数律师会告诉你，庭外和解比打官司更有益。其中一个主要原因是：庭外和解更便宜。打官司意味着你需要支付律师费、专家证人出庭涉及的费用，而庭外调解可消除大部分这些费用。另一个重要原因是数据泄露事故诉讼庭外调解可确保该案件的详情得到保密。虽然企业与受影响客户或者合作伙伴进行庭外调解很糟糕，但是将数据泄露事故诉讼送上法庭并将详细细节公之于众对企业更不是好事。有时候审判可能需要数年时间，这本身就很昂贵且影响声誉。

即使企业胜诉，受影响一方仍然可通过上诉来拖延诉讼时间。在庭外调解中，对于什么可以说以及如何提供证据都有更多灵活性。而在法庭中，证据呈现的规则和程序非常费时且昂贵。最后，如果你选择庭外和解，会得到“无罪”的判决。在这种方法中，企业可付费来摆平自己的错误而不需要认罪。

那么，什么时候数据泄露诉讼会去到法庭？几乎从来没有，但如果和解条件不公平，可能会超过打官司的成本，后者无疑是更好的选择。然而，受影响一方是决定是否和解的一方。

首席信息安全官不应该假定数据泄露事故诉讼是否将进行庭外和解。他应该始终谨慎保留监管链，确保计算机系统不会被无意或故意篡改，并根据证据规则保护受影响系统。首席信息安全官对于案件的去向没有影响力也不应该影响；而应该交给律师。他们只要确保当数据泄露事故诉讼去到法庭时，他们已经做好了一切工作来保持受影响系统和证据的完整性。