数据合规——新药研发企业达摩克里斯之剑
作者:葛永彬 董剑平 赵梦婷
前 言
如何降低新药研发企业数据合规风险并提高数据质量?如何解决跨境多中心研发数据分享等一系列数据合规风险?数据合规正快速引起企业、公众和监管机构的密切关注,新药研发企业研究及临床数据质量的重要性已经成为业内普遍共识。
在国际领域,国际人用药品注册技术协调会(ICH)在ICH GCP E6(R2)项下阐述了数据完整性(Data Integrity)的四大要素,即全面性(Complete)、一致性(Consistent)、准确性(Accurate)和可信赖性(Trustworthy),ICH要求数据在其整个生命周期内(即从数据产生、存储直至消亡的全过程)始终是可信的(Reliable)。在通用数据保护领域,2018年5月25日欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)生效,2019年9月30日《开曼群岛数据保护法》生效。国家卫健委、国务院、国家互联网信息办公室在最近两年先后发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,《人类遗传资源管理条例》,《关于<个人信息出境安全评估办法(征求意见稿)>公开征求意见的通知》等规范性文件,监管部门对于在中华人民共和国境内所产生的健康和医疗数据在采集、存储、挖掘、应用、运营、传输等全流程安全和管理提出了严格且具体的要求。我们已越来越深刻意识到,数据合规,合则生,不合则亡!本文试图结合具体案例,从数据取得、数据存储及传输、数据出境、数据的域外认可等方面,对数据质量保障和数据合规进行分析与探讨。
一
数据取得及存储合规
对于新药研发企业而言,研发数据作为项目生命周期的开端,是评估药物安全性、有效性的主要考量因素,对于药品能否通过审批顺利上市有着至关重要的影响。临床研究涉及的数据包括但不限于:基本人口学资料、检查信息(包括专科检查及辅助检查)、检验信息、药品医嘱、非药品医嘱、手术信息、病理信息、骨髓穿刺、生命体征等。
过去几年,无论是美国食品药品监督管理局(“FDA”),欧洲药品管理局(“EMA”),还是中国国家药品监督管理局(“NMPA”)对于新药研发企业数据合规的监管从未放松。
据统计,FDA在2016财年(美国财年即2015.10.1-2016.9.30)发出的药品GMP警告信共计102封,在2017财年为114封,在2018财年为127封,其中中国生产商收到的警告信数量最多且呈逐年上升趋势:2016财年为15封,2017财年为17封,2018财年达到24封;前述2018财年警告信涉及数据治理(Data Governance)和数据完整性(Data Integrity)的百分比高达60%。[1]
2018年FDA发布的警告信中,有关数据治理及数据完整性的问题主要表现为文件丢失、档案管理不当以及数据造假等,以下为浙江某科技公司因数据造假收到FDA警告信:
发布日期:2018年2月23日[2]
Your firm lacks basic laboratory controls to prevent changes to paper and electronic records for your over-the-counter (OTC) drug products. You were not able to provide analytical test data for three batches of (b) (4) spray and one batch of (b) (4). We found that you created certificates of analysis (COA) for these four batches before they were manufactured and tested.
你们公司缺乏基本的实验室控制,未防止对OTC药品纸质和电子记录进行修改。你们无法提供3批XX喷雾剂和1批XX的分析检测数据。我们发现你们在这4批药品生产和检测之前就开具了它们的COA。
When questioned, your firm acknowledged falsifying the analytical test results on the COA you used to support release and distribution of (b) (4) spray and (b)(4) drug products to the United States.
在问到你们时,你司告知我们,你们捏造了用以支持放行和销售至美国XX喷雾剂和XX药品的COA上的分析检测结果。
NMPA网站上公开的“药品注册申请不予批准的公告”中,因数据真实性、数据完整性导致的“不予批准”案例亦不在少数。如成都某药企的药品注册申请因临床试验数据存在不真实和不完整的问题而被不予批准。
发布日期:2017年10月27日[3]
经核查,成都某药企申报的丹龙片的临床试验数据存在不真实和不完整的问题。国家食品药品监督管理总局根据《药品注册管理办法》有关规定,对上述药品注册申请不予批准。
由此可见,保证数据的真实性及完整性是新药研发企业发展过程中的一大要旨;而如何确保数据取得及数据运用能符合监管合规要求、满足未来发展趋势,如何建立良好的数据合规、数据保护意识和规范以更好地进行项目研发,是新药研发企业的一大难题。
(一)原始数据取得的真实性
原始数据取得真实是确保新药研发企业后续项目研发准确性的重要开端。本文以项目研发过程中CRO数据合规、受试者知情同意、药物临床试验记录与规范、数据溯源性保障几个方面作为切入点,对如何提高新药研发企业取得原始数据的真实性进行如下探讨。
1. CRO数据合规
药品研发是一个涉及众多专业领域的技术密集型行业,新药研发企业在药物研究的过程中采购CRO服务是行业通常的做法。如何选择CRO、如何确保所选CRO数据合规是新药研发企业的重要考量,更是药品研发项目的命脉。
(1)IPO问询中监管部门关注CRO选聘和评估
近日,泽璟生物成为首家采用“第五套”标准的登陆科创板的生物制药企业。据招股书披露,泽璟生物与多家CRO保持长期服务采购关系。我们注意到交易所在审核问询中关注了泽璟生物如何选择合作CRO、如何评估CRO提供的服务。
泽璟生物在回复上述问题时,主要阐述了以下两点:公司已建立《业务外包管理办法》,对业务外包的审批流程、合同管理、过程管理、质量监控与跟踪、验收依据、预算管理和财务监督、绩效考核等方面均建立了相应的管理制度;项目执行过程中,项目组指派专人对项目进度和质量进行监测与跟踪,受托方交付阶段服务成果时,项目组进行相应验收。
(2)CRO尽职调查
工欲善其事,必先利其器,选择一家优质、可靠的CRO是药品研发项目的重要开端。在确定合作CRO并签署服务合同前,药品研发企业不妨花费一定时间和精力对CRO进行尽职调查。结合多家新药研发企业的实际需求,我们建议在对CRO进行尽调过程中着重关注CRO项目管理相关的SOP[4]及其执行情况。
由于近年来CRO人员流动较大,SOP能尽可能弥补人员流动导致的问题。除是否已制定完善的SOP之外,更深一层需考虑SOP是否得到有效执行、CRO是否定期组织员工SOP培训及考核。
如近期登陆科创板的美迪西,其招股说明书披露“公司已制定严格科学的标准操作规程系统(SOP),确定公司临床前试验的工作标准,并从质量管理体系、数据和文件管理等多角度出发,对临床前试验的全套流程设定详细的规定,保障药物临床前研究规范化、一致性及可溯源,保持高水平的服务标准”。
完整的数据管理SOP应当包含如下内容:
1. 数据管理计划
2. CRF[5]设计
3. CRF完成指南
4. 数据库的建立与维护
5. 逻辑检验的建立
6. CRF追踪
7. 数据的录入
8. 数据的审查与清理
9. 数据的差异管理
10. 外部电子数据的管理
11. 编码(不良事件和药物)
12. SAE一致性检验
13. 数据库的质量控制
14. 数据库的锁定与解锁
15. 数据的保存与归档
16. 数据的安全性
17. 人员培训
除此之外,CRO是否有效遵守药品临床试验管理规范、交流方式能否有效契合药品研发单位的需求、数据管理的经验、研究人员的整体水平也是尽调的关注点。
(3)CRO被处罚案例
印度班加罗尔的Semler是一所合同研究机构,为一些制药公司开展生物等效性和生物利用度研究。FDA曾在2015年对Semler生物分析设施所进行检查,检查发现Semler存在显著不当的行为,包括替换和操控研究受试者样品。FDA向Semler发布“无标题信”,详细说明了有关Semler设施的检查发现,质疑Semler未能证明在体内生物利用度或生物等效性研究中使用的,用来测量在体液或排泄物中活性药物成分或具疗效成分或其活性代谢产物浓度的分析方法是准确的且足够灵敏。[6]
CFDA(现为NMPA)也曾于2015年11月对8家企业的药品注册发布不予批准的公告,该公告中指出了该等生物制药企业、合同研究机构原始记录缺失、分析测试系统无稽查轨迹、隐瞒弃用原始数据等问题,并据此决定对合同研究机构进行延伸调查。[7]
鉴于以上情况,为确保所选CRO数据合规,我们建议药品研发企业在与CRO签订合同时,考虑加入如下条款:
1. 乙方已经就本协议服务项目建立完整的SOP,SOP清单如下(略),该等SOP均能满足主管部门的要求且严格执行该等SOP。
2. 关键人员业已且在本协议有效期内始终保持经过培训、经验合格,并具备管理和监督研究的适当专业知识。在本协议有效期内,关键人员均未参与任何其他申办方就可能直接或间接与研究药物竞争的药物开展的临床研究。
3. 乙方保证在本协议服务项目中向甲方提供的数据具有真实性、完整性及可溯及性,并承诺承担因数据合规问题而给甲方造成的损失。
4. 乙方应严格遵守《药物临床试验质量管理规范》、《临床试验数据管理工作技术指南》等适用法律法规的要求。
5. 其他:里程碑条款、奖惩机制条款、保密条款、个人信息保护条款、合理明确的KPI条款。
2. 如何进行有效的受试者知情同意?
《赫尔辛基宣言》:参与医学研究的医生有责任保护受试者的生命、健康、尊严、完整性、自我决定权、隐私和个人信息的机密。保护受试者,必须始终是医生和卫生保健专业人员的责任,而不是受试者本身的责任,即使先前他们已经签署同意书。
在药物临床试验中,受试者的权益保障是优先于科学和社会获益的重大考量,受试者的知情同意是保障受试者权益的主要措施、也是确保原始数据取得真实、合规的重要起点。
现行《药物临床试验质量管理规范》(2003)对于受试者的知情同意进行了明确规定,2018年7月17日,国家市场监督管理总局发布的《药物临床试验质量管理规范》(修订草案征求意见稿)(以下称“《意见稿》”)对此作了进一步明确规定。
(1)在签署《知情同意书》的主体方面,原则上,在开展药物临床试验前,受试者或其法定代理人、执行知情同意过程的研究者应在《知情同意书》上签字并注明日期;对于特殊受试主体签署《知情同意书》的要求如下:
a. 无行为能力人作为受试主体,应当经伦理委员会原则上同意、研究者认为有利、法定监护人同意并签名及注明日期;
b. 儿童作为受试主体,法定监护人应当知情同意,当儿童能够做出决定时,还必须征得其本人的同意。《意见稿》增加规定“当儿童有能力做出同意参加临床试验的决定时,还应当征得其本人同意,如果儿童受试者本人不同意参加临床试验或中途决定退出临床试验时,即使法定代理人已经同意参加或愿意继续参加,也应当以儿童受试者本人的决定为准,除非在严重或者危及生命疾病的治疗性临床试验中,研究者、其法定代理人认为儿童受试者若不参加研究其生命会受到危害,这时其法定代理人的同意即可使病人继续参与研究”。因此,在受试主体为儿童的情况下,研究者在安排《知情同意书》的签署时,建议由儿童及其法定监护人一并签署。
(2)在实施知情同意程序方面,应当采用受试者或其法定代理人能理解的语言和文字,以通俗易懂的方式向其解释与本次临床试验有关的问题;给予其足够的时间充分了解并做出决定。《意见稿》中新增了见证环节,即在受试者或其法定代理人均缺乏阅读能力的情况下,应当由见证人确认并在《知情同意书》上签字、注明日期,确保执行知情同意的研究者已经详细说明相关文字资料的内容并予以准确解释,获得了受试者或其法定代理人的同意。因此,研究者在向受试者解释《知情同意书》内容、受试者在签署《知情同意书》的过程中,建议安排见证人见证并签字。
(3)在《知情同意书》的内容方面,根据《药物临床试验质量管理规范》的规定,《知情同意书》应当包括研究背景、试验性质、试验目的、试验流程、试验期限、试验分组情况、可能的受益和风险、可供选用的其他治疗方法、试验保密及保护受试者隐私、试验保险及赔偿以及符合《赫尔辛基宣言》规定的受试者的权利和义务。
如何使得《知情同意书》既符合法律法规的规定,又能具有易读性、被受试者及法定代理人完全理解?我们结合实践中受试者签署《知情同意书》存在的普遍问题,建议措施如下:
常见问题 | 建议措施 |
签字不合格 | 建议企业根据《药物临床试验质量管理规范》的规定判断《知情通知书》应由受试者本人或其法定代理人签署、或共同签署。 |
内容不完整 | 建议企业拟定内容符合《药物临床试验质量管理规范》规定的《知情通知书》模板,以确保在不同研究项目中,《知情通知书》的内容均不会存在缺失的问题。 |
知情不充分 | 建议企业制定一套完整、可执行的知情同意操作规程,对研究人员进行操作规程的培训,使得知情同意实施的过程完全符合《药物临床试验质量管理规范》的要求、受试者及法定代理人对于《知情同意书》完整、准确理解;同时,安排无利益冲突的第三人进行知情同意的见证。 |
3. 药物临床试验记录与规范
ICH E6: Guideline for Good Clinical Practice. 1996对于如何规范药物临床试验进行了指导规定。《药物临床试验质量管理规范》(国家食品药品监督管理局令2003年第3号)对于临床试验过程中,试验方案的拟定、试验记录和报告合规以及数据管理进行了明确规定;2018年7月17日,国家市场监督管理总局发布的《药物临床试验质量管理规范》(修订草案征求意见稿),对于药物临床试验的质量控制及数据合规提出了更高要求。
在药物临床试验过程中,病历是原始文件,应当如实、完整地保存。我们注意到,在NMPA公开的“药品申请不予批准的公告”中,部分企业、医院存在篡改原始病历的情况:
发布日期:2016年4月29日[8]
丙酸倍氯米松气雾剂,申请人为武汉某医药公司,治疗支气管哮喘有效性和安全性的多中心、随机、双盲、平行对照临床试验的药物临床试验机构共8家,抽取海南某医院、上海某医院、包头某医院、兰州某医院等4家药物临床试验机构现场核查,合同研究组织为北京某医药科技有限公司。
海南某医院研究者修改了33、36、37、40、42号受试者的主诉症状,修改、添加符合入选标准诊断的症状描述,例如36号受试者,原始病历主诉为“反复气喘1年余”,添加主诉为“近来每天有症状,夜间哮喘症状>1周/次,影响睡眠”。添加主诉后该例受试者符合入选标准。
我们建议新药研发企业建立有关临床数据试验记录的内部控制制度、临床试验项目资料档案管理制度等合规制度,并对研究员定期进行合规机制培训。我们建议在药物临床试验过程中着重注意以下几点:
病例报告表中的数据来自原始文件并与原始文件一致,试验中的任何观察、检查结果均应及时、准确、完整、规范、真实地记录于病历和正确地填写至病例报告表中,不得随意更改,确因填写错误,作任何更正时应保持原记录清晰可辩,由更正者签署姓名和时间。
临床试验中各种实验室数据均应记录或将原始报告复印件粘贴在病例报告表上,在正常范围内的数据也应具体记录。对显著偏离或在临床可接受范围以外的数据须加以核实。检测项目必须注明所采用的计量单位。
在项目研发实践中,例如监查记录、内部质控记录、不良事件报告、试验用药品与生物样本管理数据等均应当完整保留;每一受试者的剂量改变、治疗变更、合并用药、间发疾病、失访、检查遗漏等均应确认并记录。
4. 数据可溯源(Traceability)
数据可溯源是指药品申请材料记载内容能够与原始数据进行比对,进而明确申请材料中呈现的数据结果是否属实。《药物临床试验质量管理规范》第十七条规定临床试验方案应包括数据管理和数据可溯源性的规定。
我们同样注意到NMPA公开的“药品申请不予批准的公告”中,部分企业、医院存在数据无法溯源的问题:
发布日期:2016年4月29日[9]
盐酸帕洛诺司琼注射液,申请人为深圳某药业有限公司,预防化疗所致消化道反应随机对照临床试验的药物临床试验机构共8家,抽取天津某医院、常州某医院、江苏某医院、扬州某医院等4家药物临床试验机构进行了现场核查。
天津某医院被检查的32份住院病历均未按试验方案要求连续记录化疗后1—5天的病程,临床试验观察表反映的呕吐次数不能从住院病历中溯源。
江苏某医院126号受试者第1、2周期治疗前后的尿常规检查报告中红细胞计数、白细胞计数结果不能溯源;127号受试者第1周期2009年11月3日尿常规检查报告中的红细胞计数、白细胞计数结果不能溯源;114号受试者尿常规检查报告中的白细胞计数及葡萄糖结果不能溯源。
那么,如何确保试验数据可溯源?我们建议研究者采取以下措施:
研究者建立临床试验数据的稽查轨迹(Audit Trail),从第一次的数据录入以及每一次的更改、删除或增加,都必须保留在临床试验数据库系统中。稽查轨迹应包括更改的日期、时间、更改人、更改原因、更改前数据值、更改后数据值。此稽查轨迹为系统保护,不允许任何人为的修改和编辑。稽查轨迹记录应存档并可查询。
对于错误数据的更改,建议研究者建立完整的质疑、答复的流程,以确保错误数据在清理过程中保存数据更改的完整记录。
(二)数据存储及传输等管理合规
临床研究中产生数据错误的原因是多种多样的。由于研究机构的管理不善(如缺乏严格的质量管理机制)、数据管理员的经验缺乏、数据传输过程不严谨导致数据缺失或重复等对于数据保护而言都是致命的。
根据《临床试验数据管理工作技术指南》的规定,权限控制(Access Control)是指按照临床试验电子系统的用户身份及其归属的某项定义组的身份来允许、限制或禁止其对系统的登录或使用,或对系统中某项信息资源项的访问、输入、修改、浏览能力的技术控制。
在FDA发出的警告信中,因权限控制而导致的数据管理问题屡见不鲜,如韩国某公司曾因计算机及相关系统的执行控制缺乏、实验室设备缺乏权限控制而收到警告信[10]。
临床数据管理中应当确保数据的完整性、安全性、准确性与一致性。为确保取得的数据得到完善保护,在临床试验数据管理系统中设置严格的权限控制至关重要。无论是纸质化还是电子化的数据,企业均需制定SOP进行权限控制与管理。对数据管理系统中不同人员或角色授予不同的权限,只有经过授权的人员才允许操作(记录、修改等),并应采取适当的方法来监控和防止未获得授权的人的操作。建立SOP,从制度角度规范数据管理、培养合规管理意识,对于企业而言具有重要意义。结合数据管理及传输实践,我们建议企业建立数据管理的合规制度,并在数据管理的制度中对于以下几个方面进行强化规定。
1. 电子签名(Electronic Signature)
电子签名(Electronic Signature)是电子化系统权限管理的一种重要手段。
一个可靠的电子签名应当同时符合以下条件:电子签名制作数据[11]用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文[12]内容和形式的任何改动能够被发现。
建议企业为每个用户提供独立的个人账户并设置密码,个人账户及秘密均不能共用;每个人在连接主机之前应当先登录其个人账户,对数据进行任何操作(记录、修改等)均应进行电子签名;离开工作站时应终止与主机的连接并退出个人账户,短时间暂停工作时,应当有自动保护程序来防止未经授权的数据操作,如在输入密码前采用屏幕保护措施;确保网络安全,包括预设账号自动注销时限等。
2. 试验数据的标准化
为确保试验数据在传输使用的过程中免于被二次“翻译”、保持试验数据的精准度,便于各临床试验的药物安全性数据共享,方便元数据(Meta Data)的存储和监管部门的视察,建议企业及研究者采用标准化语言记录试验数据。如采用CDISC标准[13]、采用医学术语标准(如MedDRA[14],世界卫生组织药物词典[15],WHOART术语集[16])。
3. 规范数据核查
企业在数据管理的过程中应当注意进行数据核查,数据核查有助于确保数据的完整性、有效性和正确性。
我们建议企业在数据管理的合规制度中对以下数据核查的内容进行详细规定:
核查方法 | 描述 |
确定原始数据被正确、完整地录入到数据库中 | 检查缺失数据,查找并删除重复录入的数据,核对某些特定值的唯一性(如受试者ID) |
随机化核查 | 在随机对照试验中,检查入组随机化实施情况 |
违背方案核查 | 根据临床试验方案检查受试者入选/排除标准、试验用药计划及合并用药(或治疗)的规定等 |
时间窗核查 | 核查入组、随访日期之间的顺序判断依从性情况 |
逻辑核查 | 相应的事件之间的逻辑关联来识别可能存在的数据错误 |
范围核查 | 识别在生理上不可能出现或者在研究人群的正常变化范围外的极端数值 |
一致性核查 | 如严重不良事件安全数据库与临床数据库之间的一致性核查,外部数据与CRF收集的数据一致性核查,医学核查等 |
二
多中心临床试验数据出境合规
(一)概述
随着药物研发全球化,用于药品注册的国际多中心临床试验备受青睐。药物全球同步研发,是一种共享资源的开发模式,可以减少不必要的重复临床试验,缩短区域或国家间药品上市延迟,提高患者获得新药的可及性。2015年药监改革后,我国的国际多中心临床试验也进入一个高速发展的新时期,《关于发布国际多中心药物临床试验指南(试行)的通告》(“《多中心临床指南》”)也应运而生。
《多中心临床指南》提出的总体要求为:国际多中心药物临床试验数据用于在我国申报药品注册的,至少需涉及包括我国在内的两个国家,并应参照《多中心临床指南》的要求;申办者在我国计划和实施国际多中心药物临床试验时,应遵守我国药品管理法等相关法律法规和规定,并执行我国《药物临床试验质量管理规范》、参照ICH-GCP等国际通行原则;且应同时满足相应国家的法律法规要求。
(二)人类遗传资源及数据出境合规
深圳某公司(“深圳公司”)与某境内医院与英国某知名大学开展中国人类遗传资源国际合作研究,深圳公司未经许可将部分人类遗传资源信息通过互联网传递出境被国家科学技术部开具罚单,罚单公开后引起社会公众的广泛关注,将人类遗传资源及数据出境安全话题推向公众视野。2019年6月10日,国务院正式发布《人类遗传资源管理条例》(“《新条例》”),这是自1998年6月10日,国务院办公厅转发科学技术部、卫生部《人类遗传资源管理暂行办法》(“《暂行办法》”)以来,我国对于人类遗传资源保护的重大里程碑。
《新条例》相较于《暂行办法》而言,存在多处亮点及变化:
1.《新条例》对于外方单位使用我国人类遗传资源的规定更加明确
(1)外国组织、个人及其设立或者实际控制的机构(以下称外方单位)不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。
(2)外方单位需要利用我国人类遗传资源开展科学研究活动的,应当采取与我国科研机构、高等学校、医疗机构、企业(以下称中方单位)合作的方式进行。
(3)在国际合作科学研究中充分保障中方单位权利,应当保证中方单位全过程、实质性地参与研究,研究过程中的所有记录以及数据信息等完全向中方单位开放并向中方单位提供备份。
(4)明确规定国际合作临床试验合作前的备案制度。
(5)明确规定开展国际合作后的报告制度。
(6)明确规定人类遗传资源材料如需向境外提供的,需要进行审批;对于可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
2.《新条例》加大了对我国人类遗传资源的保护力度
(1)《新条例》规定开展人类遗传资源调查,对重要遗传家系和特定地区人类遗传资源实行申报登记制度。
(2)《新条例》明确禁止人类遗传资源的买卖,并同时说明为科学研究依法提供或者使用人类遗传资源并支付或者收取合理成本费用,不视为买卖。
3.《新条例》对于人类遗传资源的定义更加清晰,且提高了人类遗传资源的定义层级
(1)《暂行办法》规定“人类遗传资源是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料”,《新条例》则规定“人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料”。《新条例》的规定突出强调了基于人类遗传资源材料产生的数据等信息资料也属于人类遗传资源的范畴。
(2)相较于《暂行办法》将人类遗传资源与“国家科学技术秘密”相结合的规定,《新条例》首次将人类遗传资源与国家秘密结合起来、且《新条例》全文多次出现“国家安全”一词,更加强调了人类遗传资源将会影响中国的社会公共利益甚至国家安全。
4.《新条例》加大了处罚力度
相较于《暂行办法》,《新条例》明确了处罚方式,且增设了结合违法行为所得的倍数罚款的计算方式,使得处罚规定更具有操作性。
例如对于“外国组织、个人及其设立或者实际控制的机构违反本条例规定,在我国境内采集、保藏我国人类遗传资源,利用我国人类遗传资源开展科学研究,或者向境外提供我国人类遗传资源”的情况,新条例规定“责令停止违法行为,没收违法采集、保藏的人类遗传资源和违法所得,处100万元以上1000万元以下罚款,违法所得在100万元以上的,处违法所得5倍以上10倍以下罚款”。
除了对于人类遗传资源的规定及保护之外,《中华人民共和国网络安全法》对数据的境内存储及出境的安全评估进行了原则性的规定;《国家健康医疗大数据标准、安全和服务管理办法(试行)》对数据存储、数据安全提出了具体明确的保护要求,对于健康医疗大数据(指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据),因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
2019年6月13日国家互联网信息办公室发布了《关于<个人信息出境安全评估办法(征求意见稿)>公开征求意见的通知》(“《安全评估办法》”),对于个人信息出境的安全评估办法做出了具体规定,《安全评估办法》虽未正式实施,但其对于安全评估的重点、安全评估的申报具有重要的参考价值。
《安全评估办法》规定,网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当进行安全评估;基于上述法律法规,人类遗传资源等健康医疗数据在向境外提供之前,需根据相关规定进行安全评估。结合新药研发企业的实践,在数据出境法律法规的框架下,我们对涉及数据出境的企业提出如下合规建议:
1. 源数据提供者的书面同意
企业采集数据之时,均应取得源数据提供者关于收集、使用、处理、存储、更正、删除等方面的书面同意。企业可以准备一份完整的《隐私政策》对此进行明确规定,并要求源数据提供者在阅读、充分理解的基础上签字确认同意;企业也可以与源数据提供者签署《个人信息及隐私保护协议》对此进行约定,该协议的内容可以参照《安全评估办法》第十三条至第十六条的规定。
2. 建立数据存储的合规制度
企业应当结合实践建立数据存储合规制度。数据存储合规制度应当包含采集数据的分类标准、重要数据的备份载体、数据存储的加密认证方法、个人信息脱敏技术等内容。需特别注意的是,除了直接理解的境内企业向境外机构提供数据属于“数据出境之外”,以下情况也属于数据出境:
(1)向本国境内,但不属于本国司法管辖或为在境内注册的主体提供个人信息和重要数据;
(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
因此,企业在建立数据存储的合规制度时,应着重注意针对以上容易踩线“数据出境”的情形进行特别规定。
3. 建立数据出境安全小组、制定安全评估办法
在数据出境之前,企业应当根据法律法规的规定进行安全评估。我们建议新药研发企业在数据出境之前,组织安全小组自行对数据进行安全评估。
《安全评估办法》第六条[17]对于个人信息出境的安全评估重点进行了罗列,为促使企业数据出境合规能够落到实处,我们建议企业参照评估重点规定、结合行业主管部门的评估要求,制定企业内部数据出境的安全评估办法,并遵照执行。
三
数据的域外认可
1. ICH E17多地区临床试验指导原则
ICH于2014年6月启动了多地区临床试验(E17)指导原则的起草工作,并于2016年6月形成初稿;经过讨论后,最终于2017年11月通过《E17:多地区临床试验计划与设计总体原则》(E17 General Principle on Planning and Designing Multi-Regional Clinical Trials)。
该指导原则旨在增强多中心临床试验在全球注册申报过程中的可接受性,其中亦包括有效性与安全性信息的收集与处理,要求多地区临床试验应在所有区域和研究中心按照ICH E6 GCP标准实施,包括试验中心应允许监管机构实施GCP核查。ICH E6对于试验数据处理和/或遥控电子试验数据系统提出如下要求:
确保并证明电子数据处理系统符合申办者所设定的关于完整、准确性、可靠性和一致性的性能(如数据确认)的要求(Ensure and document that the electronic data processing system(s) conforms to the sponsor’s established requirements for completeness, accuracy, reliability, and consistent intended performance (i.e. validation));
有使用这些系统的SOP(Maintains SOPs for using these systems);
保证系统的设计允许数据修改按如下方式进行:数据的改变被记录下来而不删除已经录入的数据(即保留稽查痕迹、数据痕迹和编辑痕迹)(Ensure that the systems are designed to permit data changes in such a way that the data changes are documented and that there is no deletion of entered data (i.e. maintain an audit trail, data trail, edit trail));
有一个防止未经授权访问数据的安全系统(Maintain a security system that prevents unauthorized access to the data);
有一份被授权修改数据的人员名单(Maintain a list of the individuals who are authorized to make data changes);
保存足够的数据备份(Maintain adequate backup of the data);
如采用盲法,保护盲法安全(在数据输入和处理期间维持盲法)(Safeguard the blinding, if any (e.g. maintain the blinding during data entry and processing))。
2. 中国对境外药品临床试验数据的认可
2018年7月6日,NMPA发布《接受药品境外临床试验数据的技术指导原则》,对境外临床试验数据的技术要求和接受程度,做出明确规定,在境外开展仿制药研发,具备完整可评价的生物等效性(BE)数据的,也可用于注册申请。
北大光华管理学院组织与战略系刘学教授点明如下要求[18]:“境内药企或者境内药企的合作伙伴在国外临床试验方案设计符合科学、规范的要求;在执行过程严格按照设计标准和方案执行,数据符合真实性、完整性、可追溯性;基于不同种群结构,应用于中国人,数据结论推论到中国患者群体不存在问题”。
3. 美国对境外药品临床试验数据的认可
根据美国2012年食品药品监督管理局安全和创新法案(Food and Drug Administration Safety and Innovation Act of 2012)的规定以及FDA网站公布的接受境外药品临床试验数据的指引[19],符合以下标准的境外药品临床试验数据可以被FDA接受:
数据能够被FDA所验证(FDA is able to validate data);
具有有能力的临床试验研究者(Competent clinical investigators);
临床试验系根据GCP的规定进行,包括具有独立的伦理委员会进行审查、批准及持续监督(Conducted in accordance with GCPs, including independent ethics board review, approval, continuing oversight);
数据适用于美国人及医疗实践(Data is applicable to the US population & medical practice)。
四
建立数据合规体系的建议
在日益趋严的监管环境下,不少大型知名新药研发企业已逐步建立起较成熟的数据合规体系:
1. 建立数据管理相关人员的责任、资质及培训制度,明确申办者、研究者、监察员、数据管理员、CRO的责任,并进行定期评估及考核。
2. 建立临床试验数据管理系统,包括质量手册、程序文件、作业指导书、质量记录等,力求临床试验数据管理系统达到系统可靠性、临床试验数据的可溯源性、数据管理系统的权限管理。
3. 建立试验数据标准化体系,使得临床试验数据能够在申办者内部不同研究之间建立无缝数据交换,并为申办者之间的交流,申办者与药物评审机构之间的交流提供便利;便于各临床试验的药物安全性数据共享。
4. 建立数据质量的保障及评估制度,包括数据核查制度、数据质疑流程、数据修改流程、数据盲态审核等。
5. 建立安全性数据及严重不良事件(“SAE”)报告制度,包括为确保SAE数据的一致性而对临床试验的数据库与药物警戒数据库的一致性核查等,该等核查范围包括:方案、研究者、受试者代号、受试者信息、严重不良事件的病例号、不良事件诊断、报告的严重不良事件名称、不良事件开始日期、结束日期、死亡日期、死亡原因及尸检结果、不良事件结局、不良事件严重程度、因不良事件对研究药物采取的措施等。
对于研发期新药研发企业而言,企业通常经历了早期融资、产品管线引进等基础发展阶段,正逐步开展临床前和临床研究。该阶段的新药研发企业需高度关注数据合规,积极与专业机构合作,快速建立一套符合企业发展阶段和实际情况的数据合规制度并严格执行,保障药品研发过程中数据完整性并有效降低药品在注册和上市环节数据合规风险。
通常,专业机构可以在如下方面提供帮助和支持:
事项 | 环节 | 关注点 |
研发合作 | 尽职调查 | 对CRO进行必要尽职调查,如SOP及其执行情况、历史履约情况、合法合规情况等 |
研发外包合同 | 起草、审阅研发外包合同,着重关注主体资格、陈述保证、付款节点、里程碑事件、合同解除、违约责任、信息保护等 | |
多中心临床试验 | 数据取得规范化 | 起草《隐私政策》、《个人信息及隐私保护协议》等文件 |
数据存储管理规范化 | 建立数据存储的合规制度(包括电子签名、标准化数据、数据规范核查等),并进行相应的合规、保密培训 | |
数据出境规范化 | 协助企业建立数据出境安全小组、制定安全评估办法 | |
数据管理SOP | 制定SOP | 制定包含数据管理计划、CRF设计、CRF完成指南、数据库的建立与维护、逻辑检验的建立内容的SOP |
执行SOP | 对企业相关工作人员进行SOP执行的培训;定期评估企业SOP的执行情况 |
新药研发企业的监管政策日益完善、数据合规的措施不断优化,为促进药品研发及上市的发展发挥了重要作用,而随着医药改革的逐步深入,新问题、新挑战也不期而至。我们相信,建立成熟的数据合规理念及数据合规制度将有利于各广大新药研发企业的稳健发展。
[注]
[1] 信息来源:An Analysis Of FDA FY2018 Drug GMP Warning Letters,https://www.lifescienceleader.com/doc/an-analysis-of-fda-fy-drug-gmp-warning-letters-0003
[2] 信息来源:“JULIA法规翻译”微信公众号:浙江绿岛科技 20180223。
[3]信息来源:国家药品监督管理局网站,http://www.nmpa.gov.cn/WS04/CL2138/300468.html
[4] SOP系标准操作规程(Standard Operating Procedure)
[5] CRF系指病例报告表(Case Report Form)
[6]信息来源:https://mp.weixin.qq.com/s?__biz=MzA5MDAyNjQxMw==&mid=2650387948&idx=1&sn=563883f14523dbf74392d37a6a404fbc&chksm=881ced2ebf6b6438eccc7e475bfddcea8f2d2439d6703824d497bdd08473bbbd8e5be655ec58&scene=21#wechat_redirect
[7]信息来源:http://samr.cfda.gov.cn/WS01/CL0087/134600.html
[8]信息来源:国家药品监督管理局网站,http://www.nmpa.gov.cn/WS04/CL2138/300154.html
[9] 信息来源:国家药品监督管理局网站,http://www.nmpa.gov.cn/WS04/CL2138/300154.html
[10] 信息来源:“JULIA法规翻译”微信公众号:韩国Cosmecca Korea Co., Ltd. 20180202。
[11] 电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。
[12] 数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
[13] CDISC(Clinical Data Interchange Standards Consortium)是一个全球的、开放的、多学科的非盈利性组织,建立了涵盖研究方案设计、数据采集、分析、交换、递交等环节的一系列标准。FDA、日本医药品医疗器械综合机构(PMDA)将强制要求递交符合CDISC标准的电子数据。
[14] MedDRA,作为新药注册用医学术语集,适用于政府注册管辖下所有的医疗和诊断产品的安全报告。
[15] 世界卫生组织药物词典,是医药产品方面最综合的电子词典,为WHO国际药物监测项目的重要组成部分。
[16] WHOART术语集,是一个精确度较高的用于编码与药物治疗过程中的临床信息的术语集,涵盖了几乎所有不良反应报告所需的医学术语。
[17] 个人信息出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
[18] 信息来源:北京大学光华管理学院《中国开始接受药品境外临床试验数据,意味着什么》
[19] 信息来源:https://www.fda.gov/RegulatoryInformation/Guidances/ucm126426.htm
The End
作者简介
葛永彬 律师
上海办公室 合伙人
董剑平 律师
上海办公室
赵梦婷 律师
上海办公室 资本市场部
作者往期文章推荐:
《Highlights of China’s Officially Enacted Cryptography Law》
《China Enacted New Drug Administration Law》
《China's Green Light on Stem Cell, Gene Diagnosis & Therapy》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。