CFDA发布《药品数据管理规范》

《药品数据管理规范》

（征求意见稿） 2016.09.30

章 总则 

条【目的】

为规范药品生命周期中相关数据的管理，保证药品质量和患者用药有效，依据《中华人民共和国药品管理法》和《中华人民共和国药品管理法实施条例》，制定本规范。 

第二条【范围】

本规范适用于药品研制、生产、流通等活动，包括从事上述活动的临床试验、合同研究（CRO）、委托生产（CMO）、委托检验等单位和个人。 

第三条【原则】

数据管理应贯穿整个数据生命周期，坚持真实、准确、及时、可追溯的数据管理原则，确保数据可靠性（DataIntegrity）。 

第四条【诚信原则】

执行本规范应当坚持诚实守信，禁止任何虚假行为。 

第二章 质量管理

节 原则 

第五条【质量体系】

数据管理作为药品质量管理体系的一部分，应当具有相应的管理规程，确保数据可靠性。 

第六条【风险管理】

质量风险管理是数据管理的重要工具和技术手段，应当贯穿整个数据生命周期。 

第七条【质量文化】

高层管理者应当重视数据可靠性，倡导公开、透明的质量文化，鼓励员工遇到数据可靠性问题时及时报告和沟通。 

第二节 质量管理体系 

第八条【基本要求】

应建立恰当的组织结构和规程，监测和预防可能影响数据可靠性的风险。 

第九条【问题调查】

违反数据可靠性要求的事件应当依照批准的偏差处理程序进行调查，找出根本原因，实施纠正预防措施。当调查发现对申报资料可靠性、产品质量、使用者有直接影响的，应当报告药监部门。 

第十条【质量审计】

数据可靠性的执行情况应当作为自检和定期审核的一部分，并经高层管理人员审核。 

第十一条【委托管理】

数据可靠性的要求应列入委托和采购活动的质量协议或书面合同，明确双方职责，委托方对数据可靠性及基于数据作出的决定负最终责任，并定期审核受托方数据可靠性执行情况。 

第十二条【持续改进】

应当确保数据可靠性的执行在数据生命周期中始终处于适当的持续监控。鼓励采用技术控制数据可靠性风险，促进数据管理的持续改进，促进知识管理和产品质量的持续提升。 

第十三条【质量风险管理】

应当基于GXP活动、技术和流程的数据可靠性可能存在的风险，采用合适的风险管理工具和管理策略，确保数据生命周期内数据可靠性的风险得到有效管理。 

第三章 人员 

第十四条【高层管理者】

企业高层管理者应负责建立良好的企业质量文化，配置充分的人力和技术资源，以确保质量体系满足产品生命周期数据可靠性的客观要求，对组织内药品数据可靠性负有最终责任。 

第十五条【管理层责任】

各级管理层人员应建立和维护以数据可靠性为要素的质量管理体系和相关管理规程；确保员工与数据可靠性相关的工作质量不受商业、政治、财务和其它组织压力或动因的影响；积极参与和推进在工艺、方法、环境、人员、技术等方面的降低数据可靠性风险的活动。 

第十六条【所有员工】

所有员工须遵守数据管理规范的要求及公司内部相关管理规定，有责任报告数据可靠性的任何问题，以免影响成品质量和患者用药。 

第十七条【培训】

所有涉及GXP数据相关工作人员应完成数据可靠性的培训。 

第四章 数据管理

节 原则

 第十八条【数据生命周期】

数据管理应贯穿其整个生命周期，包括数据的生成（或创建）、采集、记录、处理、审核、报告、存储、备份、销毁等过程。 

第十九条【数据类型】

数据可由以下几种情况产生： 

（一）     人工观测后填写在纸质记录中的数据。 

（二）     仪器、设备或计算机化系统产生的数据。 

（三）     采用摄影、摄像技术获取的客观数据。 

（四）     由原始数据衍生或取得的信息。 

第二节 数据归属至人 

第二十条【可归属性】

通过记录中的签名可追溯至数据的创建者或修改者。修改已输入的关键数据应当经过批准，并记录修改理由。

第二十一条【签名】

计算机化系统中不同用户之间不得共享登陆账号或者使用通用登陆账号。若计算机化系统不具备充分的技术控制能力，应当建立相应程序,可以采用纸质记录或混合模式的记录对电子记录签名，确保记录中操作行为归属到特定个人。 

第二十二条【电子签名】

电子签名与纸质签名等效, 并应经过验证，不得使用个人手写签名的电子图片代替电子签名。 

第二十三条【特例】

应有文件规定仅在某些特殊情况（例如：记录行为本身对产品或工作造成风险，如：在无菌操作区操作人员记录造成的生产线干预）下,可由另一记录人员代替操作人员进行记录的程序、适用范围,相关操作人员和代记录人员。记录应当与操作同时进行，实际操作人员应当及时对记录进行确认签字。 

第三节 数据清晰可溯 

第二十四条【清晰】

在药品生命周期中相关法规规定的保存期限内的任何时候，数据应清晰、可溯、可读、可被理解，应能确保可清晰地重现步骤或事件发生的顺序。 

第二十五条【审计追踪】

当使用计算机化系统创建电子数据时，所有的数据创建或更改行为都应当通过计算机系统中的审计追踪，或由其他符合要求的元数据字段或系统其它功能来记录，确保其追溯性。 

当现存计算机化系统缺乏审计追踪功能时，可以使用替代方法，比如日志、变更控制、记录版本控制或其他纸质加电子记录的组合来满足文档可追溯性的要求。 

第二十六条【审计追踪的管理】

审计追踪或其它提供可追溯性的替代方法不能被修改或关闭。 

第二十七条【系统高级管理权限】

业务流程负责人和用户不应当被赋予高级访问权限，例如，在任何系统层面（包括操作系统、应用程序、数据库等），均不应当具有系统管理员的权限。 

第四节 数据同步记录

第二十八条【要求】

数据在其产生或被观察到的时刻，应依据相应的程序或规定被记录下来，并确保在执行下一步操作前，数据被地保存。 

第二十九条【正式记录】

原始数据应当在GXP 活动发生的时间直接、同步的被记录到正式记录中。 

第三十条【时间戳】

应确保计算机化系统的时间/日期戳，不被篡改；并建立规程和维护程序确保所涉范围内的GXP活动的时间/日期同步。 

第五节 数据原始一致 

第三十一条【要求】

原始数据包含首次或源头采集的数据和信息，以及为完整重现GXP活动而要求的后续其它数据。 

GXP 对原始数据的要求包括： 

（一）     应当审核原始数据； 

（二）     应当留存含有原始数据的内容及原义的原始数据本身和/或真实副本、以及经确证的副本； 

（三）     原始记录在其留存期内，应符合本规范要求，并容易获得和读取。 

第三十二条【基准记录】

当有多份相同信息被同步记录时，应界定由哪个系统生成并保留的数据为基准记录。基准记录的属性应在质量体系中进行明确定义，并且不得因个例而变化。 

第三十三条【数据的收集和记录】

应有程序规定数据的收集和记录过程，定义必须的步骤和预期标准。数据的收集和记录过程应确保可重现被记录对象的完整历史，其保留形式应确保可理解和读取。