病人监护仪示意图。(Axel Heimken/POOL/AFP via Getty Images)

美国佛罗里达州总检察长詹姆斯‧乌斯梅尔（James Uthmeier）近日向两家销售中国制医疗监测设备的公司发出传票，指控其产品存在重大资安漏洞，可能将病患个资传送至中国，构成国安与消费者保护风险。

调查对象包括康泰医学系统（秦皇岛）股份有限公司（Contec Medical Systems）及其位于迈阿密的美国经销商Epsimed LLC。后者以自有品牌转售康泰生产的病人监护仪。

检方指出，康泰产品“隐瞒了重大安全风险”，其中包括内建“后门”，不仅可能被未授权人士远端操控，更会自动将病患资料传送至中国一所大学所属的IP地址。

乌斯梅尔向《大.纪.元;时报》表示：“这些极度私密的个人健康资讯在未经授权情况下流向中国，而且大多数情况下，患者都不知情。这对佛罗里达州居民，乃至全体美国人来说，都构成了严重的消费者权益问题。我们绝不能坐视不理。”

检方指涉案公司可能违反佛州《欺骗与不公平交易行为法》（Deceptive and Unfair Trade Practices Act），产品宣称与实际资安状况不符，将考虑提起民事诉讼，寻求赔偿、惩罚性罚金与禁制令。

康泰医学系统公司总部位于中国河北秦皇岛，并在美国伊利诺州设有子公司，专责美国市场。

联邦机构早已示警

早在今年初，美国网路安全暨基础设施安全局（CISA）与食品药物管理局（FDA）已针对康泰的CMS8000病人监护仪发出资安警告。Epsimed则以MN-120的名称销售该型号产品。

根据康泰官网，CMS8000可持续监测心率、呼吸、体温与血氧。FDA指出，一旦设备连网，即会搜集包含个人识别与受保护健康资讯等数据，并传送至医疗照护环境以外。

FDA在1月发出的公告中，要求医疗机构检查其CMS8000或MN-120设备是否出现“异常行为”，例如显示的病患生命体征数据与实际情况不符。

根据CISA的分析，该设备固件中含有可疑嵌入式后门，将设备连接到一个来自“第三方大学”的硬编码IP地址，可能允许远程操作者执行未授权操作，甚至修改设备配置，导致医疗机构难以掌握其实际运行状况。

乌斯梅尔直言，这项问题已构成“重大的国家安全风险”。

他指出：“我们持续目睹芬太尼自南部边境流入、中资企业在全美军事设施周边购地，如今又新增一项风险，即中国（中共）可能掌握美国公民极为私密的个人资讯。这类资讯一旦遭到滥用，将可能以多种方式危害国家安全与民众利益。”

他补充说：“这仅是冰山一角。我们将调查所有涉及类似行为的公司。”

呼吁全美严查

非营利组织“州防卫”（State Armor）执行长麦可‧卢奇（Michael Lucci）呼吁全美各州采取行动，强调此案暴露中共利用不符合最基本安全标准的产品渗透美国关键基础设施。

卢奇说：“若像康泰与Epsimed这样的公司被发现确实贩售内建后门的医疗设备、并将敏感的患者资讯发送给中共，他们必须受到法律的严惩。一家中国公司给美国人带来安全风险，这已经够糟糕的了，任何美国企业都不该成为其帮凶。”

Epsimed证实已收到总检察长的通知，并正在配合调查。该公司执行长荷西‧梅纳（Jose Mena）对《大.纪.元;时报》表示：“2025年1月，当我们了解到MN-120产品有资安疑虑后，我们立即将其下架，并配合后续调查。”

截至目前，康泰医学尚未回应《大.纪.元;时报》的置评请求。

原文“Florida AG Subpoenas Medical Firms Over‘Backdoor’ on China-Made Devices”刊登于英文《大.纪.元;时报》