DOJ与Illumina就网络安全问题达成《虚假申报法》和解

2025年7月31日，美国司法部宣布与Illumina公司达成980万美元和解，以解决涉嫌违反《虚假申报法》的行为，这些行为与其基因测序产品中的网络安全漏洞和缺陷有关。在总和解金额中，190万美元将支付给提起此案的举报人——Illumina前平台管理总监。

案件背景

Illumina将其基因测序产品销售给多个联邦实体，包括司法部、卫生与公众服务部、国土安全部、NASA、退伍军人事务部等机构。司法部指控，从2016年2月24日至2023年9月28日，Illumina通过未能在其软件中实施"足够的产品安全计划和充分的质量体系来识别和解决网络安全漏洞"，向这些机构提交了虚假的付款申请。

指控内容

司法部进一步指控，Illumina向机构提出的申请是虚假的，“无论是否实际发生了网络安全漏洞”，并声称Illumina故意未能：

• 将"安全设计"原则纳入其基因测序产品的开发、安装和市场监控中；
• 适当支持负责产品安全的人员和流程；
• 充分纠正基因测序产品中引入网络安全漏洞的设计特性；
• 遵守某些网络安全标准，如国家标准与技术研究院定义的标准，尽管声称产品确实符合这些标准。

Illumina否认了所有关于其产品存在网络安全缺陷的实质性指控，并否认所有责任。

案件特点

与最近涉及雷神公司、佐治亚理工学院或MORSECORP的其他网络《虚假申报法》和解不同，本案重点关注Illumina涉嫌未能将网络安全纳入其产品设计。司法部没有引用Illumina监控自身环境的网络安全计划中的缺陷，也没有声称Illumina的网络安全缺陷仅与公司未能随着新网络安全漏洞的出现而更新其软件有关。相反，司法部似乎重点关注Illumina未能生产出"安全设计"的产品。

相关案例

Illumina案与另一项近期和解案并列，涉及国防承包商Aero Turbine Inc.和私募股权公司Gallant Capital Partners LLC，它们共同且分别同意支付175万美元，以解决与Aero网络安全计划相关的《虚假申报法》索赔。与其它《虚假申报法》和解不同，Aero和Gallant主动报告了其不符合网络安全要求的情况，配合政府调查，并采取"迅速补救措施"以减轻损失。

案件意义

Illumina和解案似乎是司法部首次涉及网络安全和医疗设备制造商的《虚假申报法》和解。它表明，作为其民事网络欺诈倡议的一部分，司法部不仅关注国防承包商和传统的国防相关信息，还更广泛地关注政府承包商及其收集的个人信息，如健康数据。司法部在其新闻稿中强调了保护敏感信息的重要性——“这项和解强调了在处理基因信息时网络安全的重要性，以及司法部致力于确保联邦承包商遵守保护敏感信息免受网络威胁的要求。”