雕钰惟 孙红 梁毅

摘 要 目的：为进一步提升药品生产企业的数据可靠性管理水平提供参考。方法：介绍美国FDA、世界卫生组织（WHO）、英国药品和医疗保健用品管理局（MHRA）以及国际药品监管公约/药品监管合作计划（PIC/S）的药品数据可靠性监管法规，并与我国食品药品监督管理总局（CFDA）相关法规进行对比研究。结果与结论：经比较，发现国内外均较重视药品生产企业的数据可靠性管理，所发布的有关数据可靠性监管法规各有特色。首先，美国FDA、WHO、英国MHRA、PIC/S和CFDA都强调了应对系统设置访问权限，任何进入系统的人员都应经过授权，从而确保数据的保密性和可靠性；其次，对于审计追踪功能，美国FDA、英国MHRA、WHO和CFDA都作了明确要求；再次，在记录的形式方面，美国FDA和英国MHRA均强调了纸质记录和电子记录之间的等效性，WHO则要求手写原始数据必须录入计算机化系统，使得数据可追溯，CFDA则表示两者均可接受；最后，国内外药监机构都很重视风险管理工具的使用。但我国法规对于进入计算机化系统人员授权的唯一性、保证纸质数据和电子数据之间的等效性等问题的规定仍有欠缺。

關键词 数据可靠性；药品生产企业；监管法规；国内；国外

中图分类号 R951 文献标志码 A 文章编号 1001-0408（2018）22-3042-04

DOI 10.6039/j.issn.1001-0408.2018.22.04

ABSTRACT OBJECTIVE： To provide reference for further improving the management of data integrity in drug manufacturing enterprises. METHODS： From perspective of drug data integrity supervision regulations of FDA， World Health Organization（WHO），UK Medicines and Healthcare Products Regulatory Agency （MHRA） and Pharmaceutical Inspection Co-operation Scheme（PIC/S），comparative study was performed according to the relevant laws and regulations of China Food and Drug Administration （CFDA）. RESULTS & CONCLUSIONS： By comparison， data integrity management of pharmaceutical manufacturing enterprises has been paid more attention at home and abroad， and the relevant regulatory regulations on data integrity issued by them have their own characteristics. Firstly， FDA， WHO， MHRA， PIC/S and CFDA emphasize that system access rights should be set， and that anyone entering the system should be authorized so as to ensure data confidentiality and integrity. Secondly， for audit trail function， FDA， MHRA， WHO and CFDA have made clear requirements. Thirdly， both FDA and MHRA emphasize the equivalence between paper records and electronic records， while WHO requires that handwritten raw data must be entered into computer system to make the data traceable； CFDA expresses that both are acceptable. Finally， both domestic and foreign drug supervision institutions attach great importance to the use of risk management tools. However， there are still some deficiencies in Chinas laws and regulations concerning the uniqueness of the authorization of personnel entering computer systems and the equivalence between paper data and electronic data.

KEYWORDS Data integrity； Pharmaceutical manufacturing enterprises； Supervision regulation； Domestic； Foreign

质量管理的发展历经了从主观质量到客观质量、结果质量到过程质量直至今天全面质量标准化管理的多个阶段。全面质量标准化管理的理论和实践表明，产品在生产过程中所涉及的工艺控制、参数控制、数据管理等都是产品质量的具体体现。而数据可靠性（Data integrity）是制药行业质量体系的基础，其控制的优劣程度也是衡量产品质量的重要维度之一。其范畴包括所有数据在整个药品生命周期中的全面性、一致性和准确性程度，是药品质量管理体系中的一个基本要素，用以保证药品符合其所要求的质量[1]。

近年来，由于美国医药市场对境外医药产品，尤其是发展中国家如印度、中国等的医药产品的需求量和依赖程度不断提高，美国FDA加强了对境外制药企业的药品生产质量管理规范（GMP）检查。2016年，美国FDA共发布了44封关于药品生产质量问题的警告信汇总[2]，对这44封警告信进行研读分析发现总共涉及162项缺陷，其中有98项与制药企业质量控制（QC）实验室的数据可靠性问题相关。在这98项与数据可靠性相关的缺陷当中，我国15家制药企业共有38项缺陷，占总数的38.8%，说明我国制药企业QC实验室的数据可靠性缺陷已经成为GMP实施过程中一个不容小觑的问题。而我国药品监管部门对数据可靠性问题也日益重视，2015年11月13日，我国国家食品药品监督管理总局（CFDA）在其官方网站上发布了《关于8家企业11个药品注册申请不予批准的公告》，其中提及，在药品监管部门对这些药品注册申请企业进行现场核查的时候，发现“原始记录缺失，隐瞒弃用试验数据，修改调换试验数据，试验数据不可溯源，分析测试数据存疑，临床试验数据存在不真实、不完整的情况”等数据可靠性问题，因而对涉及这些问题的8家制药企业的药品注册申请不予批准。

当今计算机网络技术以及程序化控制技术迅猛发展，这些技术在药品生产和QC活动中也得到广泛运用。自动电子记录数据替代了以往大量的人工纸质记录数据。虽然与人工纸质记录相比，电子记录有诸多优势，但也存在易更改、易伪造、易丢失等缺陷，为数据可靠性的保障带来更多的新问题，这些问题对药品质量造成了严重影响，引起了包括我国在内的各国药品监管部门的高度重视，催生了众多药品数据可靠性监管法规。为此，笔者将国内外相关法规作一比较研究，以期为我国药品监管部门和药品生产企业在数据可靠性管理方面提供参考。

1 国外药品数据可靠性监管法规介绍

1.1 美国相关法规与指南

早在2003年，美国联邦法规21章第11款（21 CFR Part 11）就对食品、药品生产过程中的电子记录、电子签名和记录保存提出了明确要求[3]。其认为，电子记录、电子记录上的手写签名、电子签名的各种功能与效力应等同于纸质记录及签名。对于数据安全性，21 CFR Part 11指出，应利用限制访问或防止非授权人员访问来实现对数据的保护。人员若要进入系统必须经过授权，并且每个经过授权的人员都应有与其姓名相关联的独立ID和密码，并具有唯一性。在访问时应设置访问权限，每个用户只能访问特定的程序、文件和记录。

2016年4月，美国FDA发布了《数据可靠性及其动态药品生产管理规范符合性行业指南》（Data Integrity and Compliance with CGMP Guidance for Industry）[4]，这个指南在21 CFR Part 11的基礎上对数据可靠性在动态药品质量管理规范（CGMP）中的作用进行了进一步的阐述和要求。该指南的突出特点为完整定义了数据可靠性、元数据、审计追踪、备份、静态数据、动态数据以及计算机化系统等术语，鼓励采用基于风险管理的方法，来预防和检测数据可靠性问题。该指南还以问答的形式帮助使用者解决当下的一些疑难的数据可靠性问题，例如，计算机化系统的访问权限如何设置？系统使用公用账户会带来哪些问题？审计追踪的审核时间间隔多久，审核主体是谁？拷贝的电子数据能否作为纸质或电子记录的准确副本？是否可以接受单机计算机实验仪器只保存纸质打印件或者静态记录而非原始电子记录？……具体而又实用。

1.2 世界卫生组织（WHO）相关规范

WHO在其2010年颁布的《药品质量控制实验室良好操作规范》（WHO Good Practices for Pharmaceutical Quality Control Laboratories）[5]中，对医药企业QC实验室的数据管理要求涵盖了QC实验室全部硬件和软件管理。这个规范有以下特点：

第一，QC实验室检验仪器设备及其信息化系统的安装、运行和操作都要得到确认（校验），以确保QC实验室检验工作的顺利开展，包括数据可靠性的环境和运行条件。

第二，QC实验室应当建立保证数据可靠性的管理制度，不仅要保证数据在采集、录入、储存、传送及处理过程中的可靠性和保密性，同时要防止未经授权的用户访问计算机化系统中的电子数据，任何修改痕迹的相关记录均应被保存。

第三，QC实验室应建立对储存在计算机中的数据进行变更控制的程序。手动和自动获得的原始数据必须及时录入计算机系统，并建立一个可追溯数据的电子记录或文档。若要变更原始记录中的错误，除了及时备份原始记录外，还要及时标注修改原因、修改人的签名及进行修改的日期[6]。

WHO还于2015年9月颁布了《良好数据和记录规范指南》（Guidance on Good Data and Record Management Dractices）[7]作为数据可靠性良好操作规范的实施指南，提出可以根据质量风险管理中的原则来进行数据可靠性管理。

1.3 英国相关法规

2015年3月，英国药品和医疗保健用品管理局（MHRA）发布了《关于GMP数据可靠性的行业指南》（GMP Data Integrity Definitions and Guidance for Industry）[8]。该指南认为，就药品生产企业而言，最重要的是设计出一套合理的数据管理程序来降低数据可靠性的风险，而不只是按部就班地对数据进行常规的核对[9]，如对带有计时功能的计算机化系统等仪器设备进行进入权限设置，防止操作人员随意更改时间以便于重复试验；控制计算机化系统中用户的权限以防止未经授权人员访问、修改数据等。另外，该指南还指出，对于缺乏审计追踪和权限管理功能的计算机化系统，企业可以暂时采取同时保留纸质记录和电子记录的方式来进行弥补，但需证明这种做法与计算机化系统具有等效性，否则就应当对计算机化系统进行升级。

1.4 国际药品监管公约/药品监管合作计划（PIC/S）相关法规与指南

2016年8月，PIC/S发布了《GMP/GDP监管环境下的数据可靠性管理规范》（Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments）[10]。与美国FDA、英国MHRA以及WHO发布的相关指南相比，该规范从药品检查员的角度出发，对相关内容的描述更加细化。例如，要求药品生产企业在管理中确保以下方面：记录被完整保存；生成、记录和保存数据的员工受到系统化培训；在整个生命周期中，产品被有效地核查、监管以及放行等。该规范还要求药品生产企业制定管理程序，运用风险管理的方法在计算机化数据管理系统的设计阶段就必须对数据产生、记录、处理、储存以及使用过程中的风险进行评估和控制，并对每个数据以及处理步骤的重要程度进行判断，以确定对药品质量和患者安全产生重大影响的数据及处理步骤是否正确[10]。药品生产企业应建立管理程序对数据进行风险控制，有效防止数据被有意或无意地修改、删除、伪造、遗失或重建的行为，在数据生成及储存等环节确保数据准确、清晰、不可删除，在发生重大危机时能恢复完整数据等。

CFDA食品药品审核查验中心于2017年3月6日在其官网上发布了PIC/S数据可靠性指南与美国FDA、英国MHRA以及WHO的相关指南的对比列表[11]，经笔者归纳和整理后，详见表1。

2 国内药品数据可靠性相关法规

CFDA食品药品审核查验中心于2016年10月10日在其官网上发布了《药品数据管理规范（征求意见稿）》[12]（以下简称“CFDA《征求意见稿》”），是我国药品监管部门首次针对近几年来频频出现的数据可靠性问题给出的指导性意见。CFDA《征求意见稿》指出，作为整个药品质量管理体系的一部分，数据管理也应当建立相应的规程；而作为数据管理的重要工具及技术手段的质量风险管理应当贯穿于产品的整个生命周期。该《征求意见稿》鼓励药品生产企业高层管理者建立良好的企业文化和相关制度，确保质量信息的公开、透明，保障员工的知情权；建立监测和预防数据可靠性风险的组织机构和规程，对于出现的数据可靠性问题可以按照偏差处理程序来启动全面调查，找出根本原因并实施纠正预防措施；高层管理者应对数据可靠性的执行情况定期进行审核，并将其作为自检的一部分；对于委托管理的数据可靠性情况应明确委托与受委托双方的责任，并对处于生命周期中的数据进行持续的监控。该《征求意见稿》还对不同层次人员的职责进行了明确的描述，并提出所有员工都有报告数据可靠性问题的责任，生产企业应该加强人员的培训，增强其职业素养。

CFDA《征求意见稿》明确了数据管理的基本原则，对数据的生命周期、数据类型以及数据可靠性的五项原则（ALCOA）作了详细的描述；并对与数据生命周期相关的系统进行了详细的要求，指出系统既可以是纸质的，也可以是计算机化的，还可以是二者相结合的，但无论哪一种都应当方便现场操作人员的操作和填写，并且具备察觉对数据所作的有意或无意的篡改、删除、替换、誊写等不合规操作的能力；生产企业应根据风险评估的结果对计算机化数据管理系统进行设计，应当开启审计追踪功能来记录对数据以及系统所进行的操作。除此之外，CFDA《征求意见稿》还详细描述了审计追踪系统的审核、系统更替、计算机化系统的验证及数据安全等。

3 国内外药品数据可靠性相关法规对比

本文从以下4个方面对美国FDA、WHO、英国MHRA、PIC/S以及CFDA药品数据可靠性相关法规进行对比：

首先，美国FDA、WHO、英国MHRA、PIC/S和CFDA都强调了应对系统设置访问权限，任何进入系统的人员都应经过授权，从而确保数据的保密性和可靠性，其中美国FDA强调了访问人员应有单独的账号和密码，只能查看特定的文件和记录；而PIC/S和CFDA还特别说明了人员培训的重要性。

其次，对于审计追踪功能，美国FDA、WHO、英国MHRA和CFDA均作了明确要求。美国FDA还描述了有关审计追踪的细节问题（如时间间隔、审核主体等）。

再次，在记录的形式方面，美国FDA和英国MHRA均强调了纸质记录和电子记录之间的等效性，且英国MHRA认为，如果不能证明纸质记录和电子记录之间的等效性，那就必须对系统进行升级，WHO则要求手写原始数据必须录入计算机化系统，使得数据可追溯。CFDA则表示纸质记录和计算机化系统均可接受。

最后，国内外药品监管部门都很重视风险管理工具的使用。PIC/S強调要在数据管理系统的设计阶段就对风险进行评估和控制，用以判断数据及处理步骤的重要性，而CFDA则指出应在药品整个生命周期中贯彻风险管理的理念。

总体而言，我国法规对于进入计算机化系统人员授权的唯一性、保证纸质数据和电子数据之间的等效性等问题的规定仍有欠缺。

4 结语

美国FDA于2016年发布的44封警告信汇总涉及的98项数据可靠性缺陷中，占比最高的前三项分别是：未能建立职责明确的质量控制部门或科学合理的检测规程与标准，未能对计算机化系统实施充分控制以防止数据被篡改，以及未能确保实验室中所有测试数据或资料的可靠性。

无论从以上缺陷项出现的比例还是缺陷种类来看，仅仅从数据可靠性管理角度出发，若这些药品生产企业能严格按照GMP管理，充分运用风险管理工具，再借鉴美国FDA、英国MHRA、PIC/S、WHO或者我国CFDA的数据可靠性相关法规，即使没有高精尖的技术，也能够离管理目标更近一步，从而减少甚至杜绝类似缺陷。目前，数据可靠性问题是我国制药企业不能通过美国FDA及欧洲药品管理局（EMA）官方检查的首要缺陷项目，其重要性不容置疑。药品生产企业是药品生产的主体单位，而实验室是控制药品质量并为药品放行提供可靠数据来源的关键场所，因此有必要探索合适的方法来保证药品生产企业实验室数据的可靠性，如建立电子文件流转跟踪登录管理，限制对电子文件的操作权限，确保不出现任意篡改或者未经授权进入等情况[13]。我国药品生产企业也应深入研究确保实验室数据可靠性的方法以提升自身的质量控制体系，确保企业顺利通过国内外药品监管部门的飞行检查、生产现场检查及研制现场核查、境外检查等，提高企业竞争力，使我国的药品真正走向世界，达到与境外原研药品相同的质量水平。

参考文献

[ 1 ] 张铁军，韩文涛，韩静. 数据可靠性对中国制药企业GMP检查的影响分析[J].中国新药杂志，2017，26（9）：985-989.

[ 2 ] FDA. Warning letters：2016[EB/OL].（2018-01-30）[2018- 02-20]. https：//www.fda.gov/drugs/guidancecompliancere-gulatoryinformation/enforcementactivitiesbyfda/warningl-ettersandnoticeofviolationletterstopharmaceuticalcompanie-s/ucm482462.htm.

[ 3 ] FDA. Guidance for industry Part 11，Electronic records； electronic signatures：scope and application[EB/OL].（2018-02-20）[2018-07-12]. https：//www.fda.gov/RegulatoryInformation/Guidances/ucm125067.htm.

[ 4 ] FDA. Data integrity and compliance with CGMP guidance for industry[EB/OL].（2016-04）[2018-02-20]. http：//www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM495891.pdf.

[ 5 ] WHO. Good practices for pharmaceutical quality control laboratories（GPCL）[EB/OL].（2010）[2018-02-20].http：//101.96.10.63/www.who.int/medicines/areas/quality_ safety/quality_assurance/GoodpracticesPharmaceuticalQua- lityControlLaboratoriesTRS957Annex1.pdf？ua=1.

[ 6 ] 项新华，张河战，于欣，等. 初论药品质量控制实验室质量管理规范的基本框架[J]. 中国药事，2013，27（6）：584-591.

[ 7 ] WHO. Guidance on good data and record management practices[EB/OL].（2016-09-24）[2018-02-20]. http：//www.gmp-compliance.org/guidemgr/files/WHO_TRS_996_ ANNEX05.PDF.

[ 8 ] MHRA. GMP data integrity definitions and guidance for industry march 2015[EB/OL].（2015-03）[2018-02-20]. http：//www.cfdi.org.cn/ccdweb/kindeditor_file/68/file/1439514099.68.pdf.

[ 9 ] 馮功，梁毅. 对完善药品生产企业数据可靠性的思考[J].中国药房，2017，28（13）：1732-1735.

[10] PIC/S. Good practices for data management and integrity in regulated GMP/GDP environments[EB/OL].（2016-08-10）[2018-02-20]. https：//picscheme.org/en/publications？tri=all.

[11] 国家食品药品监督管理总局食品药品审核查验中心. PIC/S 发布的数据可靠性指南与其他机构发布的类似指南的对比[EB/OL].（2017-03-06）[2018-02-23].http：//www.cfdi.org.cn/resource/news/8639.html.

[12] 国家食品药品监督管理总局. 药品数据管理规范：征求意见稿[EB/OL].（2016-10-10）[2018-02-23]. http：//www.sda.gov.cn/WS01/CL0778/176732.html.

[13] 丁静. 制药企业GMP文件生命周期管理调查[J]. 中国药房，2014，25（5）：391-394.

（收稿日期：2018-03-03 修回日期：2018-10-07）

（编辑：孙 冰）