【编者按】
医疗设备网络安全漏洞牵涉患者生命安全,不容忽视。此次美国司法部与Illumina公司的和解案例,为全球医疗设备行业敲响警钟:企业必须切实履行网络安全承诺,而非仅停留在合规文件层面。监管部门需加强对医疗设备全生命周期的网络安全监管,确保患者数据与诊疗安全得到实质性保障。
2025年7月30日,美国司法部宣布生物技术公司Illumina Inc.同意支付980万美元及利息,以解决其涉嫌虚假陈述医疗设备软件符合联邦网络安全要求的指控。该和解解决了一名前Illumina员工根据《虚假申报法案》提起的举报人诉讼,政府随后介入了此案。
根据举报人说法,Illumina还未能维持足够的产品安全计划,纠正已知的网络安全漏洞,或为负责产品安全的人员和系统提供充分支持。在此期间,该公司据称向美国食品药品监督管理局证明其产品符合适用的网络安全要求,尽管存在这些缺陷。
根据和解条款,Illumina将支付430万美元作为980万美元总和解金额的一部分。举报人将从和解收益中获得190万美元。Illumina否认了这些指控,但表示同意解决此事以避免诉讼的不确定性、费用和干扰。该公司强调,它在2022年至2024年间修复了已识别的软件问题,并重申了对数据安全和与政府客户关系的承诺。
Illumina和解案之所以引人注目,是因为这是首个专注于涉嫌未能满足医疗设备网络安全要求的FCA和解案——而且是在没有实际违规指控的情况下进行的。司法部的责任理论基于虚假的合规陈述以及检测和修复漏洞的内部控制不足。
这种方法反映了司法部更广泛的趋势,即利用FCA追究与网络安全相关的虚假陈述。最近的例子包括:
这些案例表明,即使没有成功入侵或数据丢失的证据,司法部也愿意就网络安全实践不足和虚假认证提起FCA诉讼。政府越来越重视承包商是否实施了其证明已到位的控制措施,以及他们是否能够证实这些认证。