第一章 总 则
第一条
【目的】为规范药品数据管理,依据《中华人民共和国药品管理法》《中华人民共和国药品管理法实施条例》,制定本规范。
第二条
【实施范围和主体】本规范适用于药品研发、生产、流通、上市后监测与评价等产品生命周期中全部活动的数据管理。从事上述活动的机构和个人均应当遵守本规范。
第三条
【基本要求】数据管理是药品质量管理体系的一部分,应当贯穿整个数据生命周期。数据管理应当遵守归属至人、清晰可溯、同步记录、原始一致、准确真实的基本要求,确保数据可靠性。
第四条
【诚信原则】执行本规范的机构和个人应当坚持诚实守信,倡导公开、透明的质量文化。
第二章 质量管理
第五条
【资源配备】为确保数据可靠性,机构应当配备足够的、符合要求的人员、技术、设施和设备。
第六条
【风险管理】质量风险管理是数据管理的重要工具,应当贯穿整个产品生命周期和数据生命周期。基于数据可靠性风险的程度,采用合适的管理措施,有效控制风险。
第七条
【管理要求】应当建立规程确保数据可靠性,监测和预防可能影响数据可靠性的风险。
【委托责任】在委托和采购活动中,委托方和采购方对数据可靠性及基于数据做出的决定负责,受托方和供货方应当执行本规范要求,并在质量协议或书面合同中明确双方数据管理的职责。
【质量审计】应当定期对数据管理情况进行自检,并经高层管理人员审核。
第八条
【问题调查】发现违反数据可靠性要求的,应当进行全面调查评估,并采取纠正和预防措施。经调查评估,发现涉及产品申报资料或影响产品质量,可能对患者产生不利影响的,应当立即采取风险管控措施,并按照相应法律法规的规定报告药品监督管理部门。
第三章 人员
第九条
【高层管理人员】高层管理人员应当负责建立良好的企业质量文化,配置足够的人力资源,以确保满足数据管理的要求。高层管理人员对药品数据可靠性负最终责任。
第十条
【管理层责任】管理人员负责建立并监督执行数据管理相关规程;保证与数据可靠性相关的工作质量不受商业、利益相关方等因素的影响;参与和推进在工艺、方法、环境、人员、技术等方面降低数据可靠性风险的活动。
第十一条
【所有人员】所有人员应当遵守本规范的要求,有责任报告数据可靠性问题。
第十二条
【培训】涉及药品各类质量管理规范(以下简称GXP)数据相关活动的人员应当经过数据可靠性培训。
第四章 数据基本要求
第一节 数据归属至人
第十三条
【可归属性】根据记录中的签名能够追溯至数据创建者及修改人员。
第十四条
【签名唯一】计算机化系统中不同用户不得共享登录账号或者使用通用登录账号。
现有设备不具备独立账号功能的,应当建立相应规程,采用纸质记录或原始电子记录辅以纸质记录,确保记录中的操作行为能够归属到特定个人。
第十五条
【电子签名】电子签名与纸质签名等效,并应当经过验证,不得使用个人纸质签名的电子图片代替电子签名。
第十六条
【特殊情况】在特殊情况下(如无菌操作),可由另一记录人员代替操作人员进行记录。应当建立相应规程明确代替记录的适用范围和操作方式,确保记录与操作同时进行,操作人员及记录人员应当及时对记录进行确认签字。
第二节 数据清晰可溯
第十七条
【清晰】在规定的数据保存期限内,数据应当清晰、可读、易懂、可追溯,确保能够完整地重现数据产生的步骤和顺序。
第十八条
【审计追踪】使用计算机化系统创建、更改数据等操作,应当通过审计追踪功能记录,确保其追溯性。
现有设备不具备审计追踪功能的,可以使用替代方法,如日志、变更控制、记录版本控制或原始电子记录辅以纸质记录来满足数据可追溯性的要求。
第十九条
【审计追踪的管理】不得关闭计算机化系统的审计追踪功能,不得修改审计追踪产生的数据。
第二十条
【审计追踪审核】应当对审计追踪进行审核,审核的频率和内容应当基于风险级别确定。
涉及直接影响患者安全或产品质量的关键数据更改(如最终产品检验结果、测试样品运行序列、测试样品标识、关键工艺参数的更改等),应当在做出决定前对更改的数据及其审计追踪一并进行审核。
第三节 数据同步记录
第二十一条
【要求】在数据产生时,应当依据相应的规程直接、及时的创建正式记录。确保在执行下一步操作前,数据不被篡改、删除或覆盖。
第二十二条
【时间戳】应当建立规程确保计算机化系统的时间戳不被篡改。应当建立规程和维护计划确保机构内各项GXP活动的时间和日期同步。
第四节 数据原始一致
第二十三条
【要求】原始数据的管理至少符合以下要求:
(一)原始数据应当经过审核;
(二)原始数据或真实副本应当保存;
(三)原始数据在保存期内应当容易获得和读取。
第二十四条
【基准记录】应当有规程规定基准记录确定依据。相同信息有多份记录的,应当明确基准记录。
第二十五条
【数据的收集和记录】应当建立原始数据收集和记录的规程,明确步骤和预期标准。
第二十六条
【原始数据审核】应当建立规程确保原始数据经过审核和批准。电子数据的审核应当包括对电子元数据的审核。
(一)应当基于风险级别规定数据审核的方法和内容。
(二)应当规定审核的频率、职责、异常情况的处理及对元数据的审核方法等。
(三)审核人员应当理解所承担的职责,经过培训并具备相应的能力,培训内容与审核的风险级别相适应。
(四)如计算机化系统无法满足电子审核记录要求,使用纸质打印记录输出作为审核记录时,应当由第二人复核原始电子数据和相关元数据(如审计追踪)。
第二十七条
【原始数据转换为真实副本】应当建立将原始数据转换为真实副本的规程,真实副本应当与原始数据一致,至少包括以下内容:
(一)转换后的真实副本应当与原始数据一致,且不得被更改。
1.将原始纸质记录制作成纸质的真实副本时,应当与原始纸质记录一致。
2.将原始纸质文件扫描并转化为电子图像(如PDF文件)作为真实副本,应采取额外的方法保护电子图像不被更改。
3.将原始电子数据集制作为电子的真实副本,应保留原始记录的动态记录格式。
4.当纸质签名对数据可靠性至关重要时,应保留原始纸质记录的全部内容。例如:临床试验的知情同意书。
(二)应能证明转换为真实副本的过程保留了原始数据的全部内容。可通过第二人复核或采用技术方式确证,其过程应当以适当的方式记录。
第二十八条
【数据的保留】应当建立归档规程确保原始数据或其真实副本在保存期内可获得,至少包括以下内容:
(一)纸质数据的归档应当确保安全便于查阅。
(二)电子数据的归档应当确保安全并可以重现。可以通过创建真实副本或从一个系统转移到其他系统的方式进行归档,其转移过程应当被确证并记录,应当以动态格式保存全部内容。
(三)电子数据应定期备份,其备份及恢复流程必须经过验证。发生灾难时,备份数据可恢复。
(四)数据的保存期限应满足相应GXP规范要求。
第二十九条
【销毁】应当建立数据销毁的规程,数据的销毁必须经过审批。
第五节 数据准确真实
第三十条
【准确】数据准确是指数据能正确、真实、有效、可靠地体现数据所记录的活动。
确保数据准确的控制措施至少包括:
(一)产生数据的设备应当经过校准、确认和维护;
(二)产生、储存、分配、维护及归档电子数据的计算机化系统应当经过验证;
(三)分析方法和生产工艺应当经过验证;
(四)数据应当经过审核;
(五)偏差、异常值、超标结果等应当经过调查;
(六)应当建立完善的工作流程减少差错的发生。
第三十一条
【数据处理】应当建立数据处理的规程,采用经验证、确认或核实的方案、过程、方法、系统和设备处理数据。
第五章 系统
第三十二条
【原则】用于数据的收集、存储、处理、分析、审核、报告、转移、备份、归档及检索的系统可以是计算机化的或纸质的,并至少应当满足以下条件:
(一)能够防止并发现对数据有意或无意篡改、删除、丢失、缺失、替换、誊写等不规范的操作;
(二)同时保存纸质和电子数据时,应当以电子数据作为原始数据;
(三)易于现场操作人员填写或输入数据。
第三十三条【纸质要求】包含GXP关键信息的纸质空白记录(如实验室记录、批记录)的发放和回收应当受控。
第三十四条
【计算机化系统要求】计算机化系统的设计、配置、验证和运行,包括计算机硬件、软件、外围设备、网络、云基础设施、操作人员和相关文件(例如用户手册和标准操作规程)应当符合相应质量管理规范要求。
第三十五条
【管理权限】业务流程负责人和用户的权限应当与其承担的职责相匹配,不得赋予系统(包括操作系统、应用程序、数据库等)管理员权限。
第三十六条
【审计追踪】应当根据风险评估的结果设置计算机化系统的审计追踪功能,记录对系统和数据所进行的操作,至少包括以下内容:
(一)操作者、操作时间、操作过程、操作原因;
(二)数据的产生、修改、删除、再处理、重新命名、转移;
(三)对计算机化系统的设置、配置、参数及时间戳的变更或修改。
第三十七条
【数据安全】系统应当具备安全保障措施确保数据的安全,至少包括以下内容:
(一)只有经授权人员方可进行数据处理、存储;
