举报人诉讼 – 全球医美资讯

【编者按】

医疗设备网络安全漏洞牵涉患者生命安全，不容忽视。此次美国司法部与Illumina公司的和解案例，为全球医疗设备行业敲响警钟：企业必须切实履行网络安全承诺，而非仅停留在合规文件层面。监管部门需加强对医疗设备全生命周期的网络安全监管，确保患者数据与诊疗安全得到实质性保障。

首例医疗设备网络安全和解

2025年7月30日，美国司法部宣布生物技术公司Illumina Inc.同意支付980万美元及利息，以解决其涉嫌虚假陈述医疗设备软件符合联邦网络安全要求的指控。该和解解决了一名前Illumina员工根据《虚假申报法案》提起的举报人诉讼，政府随后介入了此案。

“投诉指控，从2016年1月至2023年4月，Illumina未能在用于研究和临床目的的某些产品的设计、开发、安装和营销中纳入足够的网络安全措施。”

根据举报人说法，Illumina还未能维持足够的产品安全计划，纠正已知的网络安全漏洞，或为负责产品安全的人员和系统提供充分支持。在此期间，该公司据称向美国食品药品监督管理局证明其产品符合适用的网络安全要求，尽管存在这些缺陷。

根据和解条款，Illumina将支付430万美元作为980万美元总和解金额的一部分。举报人将从和解收益中获得190万美元。Illumina否认了这些指控，但表示同意解决此事以避免诉讼的不确定性、费用和干扰。该公司强调，它在2022年至2024年间修复了已识别的软件问题，并重申了对数据安全和与政府客户关系的承诺。

司法部网络安全FCA执法趋势增强

Illumina和解案之所以引人注目，是因为这是首个专注于涉嫌未能满足医疗设备网络安全要求的FCA和解案——而且是在没有实际违规指控的情况下进行的。司法部的责任理论基于虚假的合规陈述以及检测和修复漏洞的内部控制不足。
这种方法反映了司法部更广泛的趋势，即利用FCA追究与网络安全相关的虚假陈述。最近的例子包括：

“MORSECORP公司——2025年3月26日，一家国防承包商同意支付460万美元，以解决其涉嫌未能在国防部合同下实施所需的NIST SP 800-171控制、提交虚假的供应商绩效风险系统分数以及使用不合规云服务的指控。举报人将获得约851,000美元。”

“Centene公司/Health Net联邦服务——2025年2月18日，这些实体同意支付1125万美元，以解决其涉嫌虚假证明符合TRICARE合同下的网络安全要求、未能执行所需的漏洞扫描以及忽视审计和内部警告的指控。”

“宾夕法尼亚州立大学——2024年10月22日，宾州州立大学同意支付125万美元，以解决其涉嫌未能满足国防部和NASA合同下合同要求的NIST SP 800-171保障措施并虚假陈述其SPRS分数的指控。”

这些案例表明，即使没有成功入侵或数据丢失的证据，司法部也愿意就网络安全实践不足和虚假认证提起FCA诉讼。政府越来越重视承包商是否实施了其证明已到位的控制措施，以及他们是否能够证实这些认证。

查看全文: 点击查看原文 |
⏰ 发布时间: 2025年08月05日