應當指出的是，美國州立法院在這些問題上可以更寬容一些。由于他們是根據州法律來判決民事案件，他們不需要按照聯邦憲法的標準。假設原告將訴訟提交給州立法院(這對于集體訴訟可能很難，因為數據泄露事故通常都會影響整個國家的消費者)，那應該按照州法，而不是憲法或者聯邦法規(guī)的立場。
第三，原告會提出什么控告?
他們越來越多地會提出疏忽、違反合約、消費者保護和不正當競爭等。事實上，我們對過去三年的案件調查顯示，疏忽主張越來越受歡迎。上面提及的Home Depot數據泄露訴訟就包括疏忽，疏忽本身，以及違反各種不公平和欺騙性貿易慣例法規(guī)。
原告通常不能轉向數據泄露通知法規(guī)。雖然這些法規(guī)通常會為州檢察長辦公室提供對違反這些法規(guī)的人的制裁權力，但很少向個人消費者或州居民提供私人的行動權。
值得注意的是，數據泄露訴訟通常是以和解或解雇為結果;很少有案件得到裁決。對于一般民事訴訟來說確實是這樣，大多數案件從未在審判中得到最終裁決。舉例來說，Home Depot訴訟有兩個集體訴訟和解：一個是消費者集體訴訟，另一個是金融機構集體訴訟。
對于一家遭受數據泄露的公司來說，這可能看起來不公平，在淪為犯罪活動的受害者后，該公司可能還不得不面臨監(jiān)管合規(guī)和潛在訴訟。有跡象表明，美國各州和聯邦執(zhí)法機構越來越多地將公司視為受害者，而不是以某種方式參與數據泄露事故。
盡管如此，只要企業(yè)收集、維護和使用機密的個人信息，他們就必須維持合理的安全策略以保護信息的安全，并在發(fā)生數據安全事件時謹慎行事。合理的行動可增加后續(xù)訴訟的成功率，但并不能保證一定成功。最大限度減少對消費者的傷害不僅是正確的做法，而且可在數據泄露訴訟中提高企業(yè)自身的辯護。