注射剂协会考虑要点

数据完整性行为守则要素

简介

数据完整性目前已经成为全球卫生机构与制药行业所关注的重点。尽管不是一个新的问题，近期在很多卫生当局的执法行动例如警告信、进口警报、产品扣留，以及暂时取消或撤销上市许可中都非常关注数据完整性的问题。数据完整性可能由于缺乏法规要求意识、员工错误、无法核实数据准确性，软件或系统故障，或电子数据处理配置问题，或员工渎职行为导致。为了全面解决数据完整性问题，注射剂协会(PDA)正在开发一套面向行业的涵盖PDA技术报告、PDA培训程序、数据完整性研讨会，以及考虑要点文件的工具来解决这一严重问题。本文件代表注射剂协会(PDA)的观点，公司可自愿采用行为守则来确保数据完整性。

如何使用本文件

本文档由在质量、药政事务、审计及制造有专业知识的团队起草，并由专业从事食品、药物及劳动法的律师进行审核。对于部分选择或全部选择该文件的公司，该文件的编写易于使用且不需要大量文件的重新编辑。因此，如果使用的话，公司可以根据术语“应()”与“必须(must)”明确可执行的守则。本文件目的是在制药行业内加强质量与信任文化。该文件并不是药政标准或指南，也不打算取代任何国家特定或地方法律，以及监督劳动、隐私，和/或，雇员权利的法规。

为了使下面使用的语言尽可能全球适用，该文件的范围仅限于药品与生物药品。相同或相似的概念也可以应用于医疗器械与组合产品的制造中。PDA将本文件和这些概念作为对会员的一种服务，并作为制药行业最佳实践的范例。关于如何使用本守则的更多详细内容请参考下面第二章。第三章是关于行为守则的条款。

1.1 本文件目的在于概述必要的关键要素，以确保贯穿产品生命周期各个方面的信息和数据的可靠性与完整性。数据完整性行为守则旨在适用于员工、官员、第三方供应商以及代表公司或公司授意的其他行为，例如从事开发、检测、制造或提交药品或生物制品上市许可的人。每个公司应建立自己的方针、标准、规程、行为守则，或其他质量系统要素以明确数据完整性的要求(包括在行为守则中概述的基本原则):

临床试验、生物等效性研究和商业销售的制剂制造企业

开展临床试验以支持新药申请的公司，包括但不限于：研究用新药(IND)、临床试验申请(CTA)、研究用药品档案(IMPD)、生物制品许可申请(BLA)、上市许可申请(MAA)、新药申请(NDA)与简略新药申请(ANDA)

1.2 数据完整性行为守则适用于根据以下相关的法律、法规和药政当局立法指令，提供符合GXP法规要求的服务和产品的上市许可持有人及药厂，包括：

1.3 以下所述原则旨在辨识公司可能选择纳入其恰当系统的关键数据完整性要素，该系统用于明确公司管理层和每一个员工行为的方针、标准和要求。下列要素可用于建立独立的专门用于GXP操作的数据完整性行为守则。另外，被辨识的要素可以被纳入到更广泛的包括超越数据完整性的商业价值以及道德行为守则的行为守则中。数据完整性要素可以被合并在用于定义公司管理层及其员工行为要求的现有方针、标准或其他文件中（例如供应链合作伙伴的质量协议)

1.4 制造企业有责任确保代表制造企业或制造企业授意提供产品或服务的第三方供应企业已经建立了质量体系要素。制造企业需要确保作为其延伸操作的供应企业(诸如，合同实验室、合同研究组织与合同制造组织)已经定义了公司管理层与每个员工的行为方针、标准与要求。

2.1 制药行业开发与制造药品与生物制品，用以帮助全世界的患者更长、更健康地生活。改变患者的生活是在这个行业工作的特权。每个员工都有责任使所有的利益相关方相信其决策是基于准确、真实和完整的数据和信息的。

2.2 高级管理层必须建立质量标准、要求与规程，并有义务保持与监测质量体系的性能从而有助于确保获得安全并有效的药物。公司必须保持对运营管理的监督，以证明每个产品均在被设计可保证信息与数据可靠和完整的条件下开发、制造或检测，这些信息和数据被用于支持其质量与使用的适用性，并符合药政当局相关的法律、法规与立法法令。确保数据完整性意味着通过准确、真实、完整地表示实际上发生的事件来收集、记录、报告与保存数据与信息。

2.3 每个公司的每一位员工应对自身的行为负责，从而保持公司与利益相关方，即患者、卫生保健提供者与监督者之间的信任(也就是防止由于数据完整性问题破坏这一纽带)。员工有责任以道德的方式履行其GXP职能，以满足在公司要求中清楚表达的公司要求与行业标准，并符合所有药政当局相关法律、法规或立法指令。

2.4 每一位员工需要按照公司方针、规程和适合的法律采用纸质或电子方式准确、真实、完整地收集、分析、报告与保存代表实际发生事件的信息与数据。

2.5 通过自愿采用数据完整性行为守则(行为守则)，高级管理层应依据适当的法律要求承诺，如果本公司发现某暂停或已经批准的上市许可或其他提交给药政机构的文件中存在不真实的重要事实声明或省略的重要事实(例如，虚假、误导、不准确或不完整的信息)，将通知相关的许可/药政当局。对于未提交，但被用来确定产品批次是否符合规格标准的数据，如果之后发现是虚假、误导、不准确或不完整的，公司承诺向卫生当局提交恰当的通知(例如，现场警报、生物产品偏差报告 (BPDR) 或在伪造药品法令(FMD)通知)。如必要，管理层应承诺; (1)充分披露信息，(2)确认开展全面调查，(3)实施纠正与预防措施，以防止再次发生，以及(4)确认已经提交给药政当局的数据与信息的有效性与可靠性。包括纠正重要事实(已经提交的信息与数据，如果发现存在不正确、不真实、误导或不完整的情况)。

3.1 适用性

3.1.1 每个开发、检测与制造原料药、中间体，或药品与生物制品的公司或提供支持数据的供应商/供应方可采用公司数据完整性行为守则，从而建立适合公司全体员工与管理层的道德行为标准。

3.1.2 为了支持该守则，公司需建立的程序包括：(1)提倡一种鼓励道德操守的组织文化；(2)证明公司的承诺符合恰当的法律；以及(3)对数据完整性失误的预防与监测。

3.1.3 公司应建立要求并实施程序，向所有员工开展有关数据完整性基本原则的培训，包括作为实施GXP职能条件的员工行为。每位员工需每年接受数据完整性行为守则的再培训。

3.1.4 每一位员工每年应提供签名的认证声明确认在过去一年里其遵守数据完整性守则，包括宣誓已经向公司管理层报告任何自身已经知晓的有关数据完整性问题的不法行为。

3.2 数据采集、分析、报告与保存

3.2.1 公司应建立规程与记录系统以确保所有的信息和数据以准确、真实和完整地表示实际发生情况的方式进行收集、分析、报告，与保存。

3.2.2 公司应建立文件控制系统与规范，以保持数据完整性，并提供防止数据完整性失误与监测不合规事件的机制。该系统可帮助确保所有针对GXP开展的开发研究、生产、控制活动的原始数据已经采用纸质记录或电子记录的方式被保存在装订的笔记本或受控的工作表(预先编号的批准的格式)中，对于电子记录应采用经验证有适当的安全性、审计追踪、验证和监督的计算机系统。

3.2.3 员工需遵守既定的文件系统要求，且不允许在非正式表格、手写板或其他非受控媒介上记录原始数据。该规程将描述适用于纸质与电子记录的文件控制规范，保存要求和规范，包括符合相关药政当局要求的保留期。纸质和电子记录的保存应采用正本或真实副本(例如影印件)或其它正本记录的准确复印件 (例如电子扫描)。

3.2.4 员工需遵守已建立的有关纸质与电子文件和记录的文件控制与保存要求、恰当的法律、法规与药政当局立法法令的公司规程。员工不应以任何方式丢弃、销毁或修改原始数据或原始记录(除非根据批准的程序在规定的保留期结束时)。员工不得删除原始数据或以模糊或涂改原始记录的方式改变原始记录。如果需要通过变更来纠正错误，应保留原始记录连同识别进行纠正的人员身份的内容，日期及纠正的原因。

3.2.5 为了确认纸质记录的GXP活动，公司需建立并保存在GXP领域工作的员工签名与初始日志，包括每个员工签名/首字母的手写样本。员工必须以同步的方式在原始记录上签字或签首字母，且必须注明日期(如果规程要求还需要注明时间)以准确地反映谁实施或见证了该活动，或谁输入结果或确认输入内容的准确性。员工不应在记录上签其他人的签名或首字母，或将日期提前或拖后(纸质或电子)。

3.2.6 公司应确保在药政机构检查中记录的迅速获取。一旦被授权有合法权限检查此记录的药政官员提出要求，公司应提供所有与GXP行为相关的法律、法规或立法指令要求的记录。员工不得拖延、拒绝或限制记录的获取或拒绝药政当局授权官员的检查，除非在书面程序中有特殊规定[例如，当检查官到达时应立即通知高级管理层]。

3.2.7 公司应建立程序确保用于放行原料药、药品和生物制品上市销售的数据和信息的准确性、完整性和真实性，包括对符合获批上市申请中的承诺（如使用）的支持性数据和信息的确认。作为批放行的条件之一，执行批生产和控制记录审核的员工，应遵守既定的程序并证实用于支持批放行的记录已由第二人对其准确性、真实性和完整性进行了确认。

3.3 电子数据采集系统

3.3.1 如果已经建立了GXP数据的电子数据采集系统，该公司必须确保已经根据既定的旨在保证数据完整性的行业标准进行系统的安装、验证与维护。业务流程需包括书面程序的建立以管理电子数据的收集、分析、报告和保存，包括：

3.3.1.1 涉及数据使用、纠正与转移的过程控制，应确保在数据生命周期的每个阶段均能进行数据追踪。如果数据转移经过授权，这个行为的控制必须有追溯性，并根据相关法律、法规或立法法令规定的时间或公司方针与规程要求的更长的时间进行保存。

3.3.1.2 安全控制应能防止和监测数据的删除、覆盖、篡改和/或数据遗漏。

3.3.1.3 安全日期和时间戳应能监测并防止记录的篡改。

3.3.1.4 安全数据保存位置应能防止将数据从被保存的位置转移至未经授权的文件储存位置，包括可移动设备。

3.3.1.5 系统与程序控制应能对所有生成的数据提供报告与评价。

3.3.2 公司应根据相关的法律、法规或立法法令对电子记录和签名建立恰当的安全、审计追踪、验证和监督。电子记录应是可归属的、清晰的、同步的、可追踪的、有时间/日期戳和永久的。

3.3.3 根据公司规程或法规要求，公司应该对电子GXP数据的审计追踪进行维护和审查。该审核包括按照事务日志中的输入内容对系统审计跟踪日志进行定期审核以确证所有的事件和数据(包括元数据)已经被准确完整地捕获、报告与保存。

3.3.4 负责输入数据，确认数据准确性或执行其他涉及GXP 数据活动(例如收集、分析、报告或保存职能)的员工应该根据已经建立的方针和程序同步录入数据。员工应准确输入并完整报告所有所需的数据。员工不得进行任何对数据完整性造成疑问的行为(如，伪造数据、进行未经授权的变更，或销毁、删除或覆盖数据)。审核或评估电子数据的员工需遵循既定规程并确认所有要求的数据与信息已经被涵盖在相关的记录和报告中。员工应该采用准确、真实、完整表示实际发生事件的方式录入数据和信息，并包括所有的检测结果(如果适用)。

3.4 电子访问安全措施

3.4.1 任何计算机数据采集系统需建立安全访问以防止对电子数据未经授权的更改。对于每一个需要录入数据或访问GXP电子数据的电脑用户，公司应采用并严格执行计算机系统安全访问规程。安全措施应包括对防止计算机系统未授权访问的严格控制，包括使用唯一的用户名和密码或其它生物特征手段来识别已经授权的用户，诸如，人脸识别、指纹识别器和虹膜扫描仪等。

3.4.2 与数据完整性行为守则一致，员工应遵守既定的描述电子数据访问安全控制要求的规程。员工不得泄露，和/或，与其他人分享其用户名，和/或，密码，或使用其他人的用户名或密码访问计算机文件。

3.5 数据完整性质量体系审计

3.5.1 作为其内部审计程序的一部分，公司应对用于收集、分析、报告和保存信息和数据的质量系统要素进行定期的评估。

3.5.2 审计程序应包括定期审计从而确保符合既定数据完整性的要求。该审计应由接受并拥有数据完整性评估的教育、经验和培训的独立审计人员进行。

3.5.3 执行数据完整性审计的员工应了解现行的与文件和记录保存要求相关的法律、法规和立法指令。

3.6 不法行为的调查

3.6.1 公司应建立并按照规程对任何涉嫌导致数据完整性问题的造假、伪造或其他行为进行调查。此类调查应包括以公正平衡的方式由独立的人员对记录的深入审核。

3.6.1.1 公司可聘请法律顾问协助调查员确保文件被恰当地识别并妥善保存，且公司收到有关调查行为的恰当建议和咨询。调查员应接受并拥有数据完整性评估的教育、经验和培训。

3.6.1.2 独立调查可以用于识别由于个人或组织产生的在系统、工艺、规程和/或规范中潜在的差距，这些差距可能会导致有关数据完整性的问题。此调查也将有助于评估已知或怀疑的不法行为的法律内涵，以及向药政当局可能的报告义务。

3.6.1.3 对于在独立调查中发现的有关数据完整性的问题，应识别出在调查过程中发现的所有涉及的人员，并对有关该调查的相关活动或行为进行详细地描述。该调查必须明确可疑行为的范围。例如，在其他情况下是否可能发生相同或类似的行为或惯例，或者可能影响其它数据。如果如此，应将调查扩展到这些事件、活动、惯例，和/或公司范围采集的其它数据上。

3.6.1.4 公司规程应包含对调查进行记录的具体要求，包括对申请与已销售产品的潜在影响。公司规程中还应该包含向高级管理层报告以及定期检查的具体要求，以确保向高级管理层报告的机制是有效的。

3.6.2 在对某不符合既定要求的事故、事件或检测结果进行调查的过程中，员工应该与公司配合。员工应提供真实的有关该事故/事件可能的第一手资料。在此调查期间，基于其最佳的知识水平，员工所提供的信息与详细情况应该是准确、真实和完整的。

3.7 不法行为的报告

3.7.1 公司应要求员工在发现数据造假、未授权的更改，销毁，或其它导致数据完整性的行为时向管理层报告。涵盖报告机制的通知要求中应清楚规定恰当的书面方针、标准、规程、行为守则或其他文件。

3.7.2 当员工知晓任何可能影响数据完整性的问题，诸如，由于过失、遗漏或无论什么原因的不法行为所导致的问题，员工应该向公司负责的管理层报告。例如，如果员工已经知道或有原因怀疑其他人存在数据造假、未授权更改、销毁数据或其它导致数据完整性的行为时，员工应立即通知管理层。该通知应遵循符合恰当方针、标准、规程、行为守则，或其它文件的程序进行。根据员工的选择和当地法律的要求，员工可以选择匿名报告。

3.7.3 如果员工向负责的管理层报告其他员工存在已知或被怀疑的涉及造假、数据销毁、未授权数据更改，或其它不法行为，包括未同时进行数据报告的行为，公司应保护员工免受报复。

3.8 员工由于不法行的惩戒措施

3.8.1 对于员工行为导致的数据完整性问题，公司应该建立书面的有关惩戒措施的方针/标准。公司应该向员工告知其员工行为方针/标准，包括由于不法行为导致的惩戒措施。需由负责的管理层、人力资源(HR)与法律部门按照恰当的公司方针、标准、规程、行为守则，以及恰当的法律来审核任何蓄意的数据伪造、未授权的更改、销毁或其它导致数据完整性问题的行为。适当的惩戒措施将被强制用于经确认不符合恰当的书面要求或法律的行为上。惩戒措施应基于行为的性质包括在需要时可能的雇佣关系终止。当发现某公司员工或第三方员工代表公司或在公司授意下的行为违反公司有关数据完整性的相关方针/标准或规程时，公司应记录所采取的惩戒措施。

3.8.2 公司应要求员工向管理层通知已知或怀疑的数据完整性问题，并告知不报告已知或怀疑的数据完整性问题将导致其受到惩戒措施。

3.9 向药政当局通知数据完整性问题

3.9.1 公司需要建立规程确认提交给药政当局的数据和信息的准确性与完整性，并建立控制确认该提交符合法律、法规或药政当局的立法法令。

3.9.2 公司承诺向药政当局提交的数据与信息符合药政要求。如果某暂停或已经批准的上市许可，或其它提交给药政当局的文件中包含(或遗漏) 重要事实的不真实陈述，公司应按照恰当法律要求及时通知相关的药政当局。在这种情况下公司应采取纠正措施对提交中包含的所有数据和信息的准确性、完整性和真实性进行确认，并向药政当局提供纠正的或额外的数据或信息，如果适用。重要事实是用来支持符合公司方针、标准或规程或符合相关法律、法规或药政立法法令的重要或必要的证据。重要事实对于依赖此数据和信息制定决策的公司或药政当局是重要的(而不是微不足道的、琐碎的或不重要的细节)。

3.9.3 员工必须遵守向药政当局进行报告的规程，并在他们知晓某暂停或已经批准的上市许可或其它向药政当局提交的文件中包含重要事实的不真实陈述或遗漏重要事实(例如，信息虚假、误导、不准确或不完整)时，立即通知公司管理层。

3.9.4 如果发现数据完整性问题但是并未涉及已经从某暂停或已批准的上市许可或其他向法规当局提交的文件中删除的重要事实的不真实陈述，公司需要向其法律顾问进行咨询。该法律顾问应具备法律、法规或药政当局立法法令的经验。根据法律顾问的建议，该公司需要决定在法律、法规，或药政当局立法法令没有要求进行通知的情况下是否应该主动向药政当局披露该数据完整性失误。

3.10 外包服务与采购原料的数据完整性

3.10.1 公司应该与子公司、合同制造组织、服务提供商或供应商签署协议以明确适合所供应的具体物料或所提供的活动或服务的数据完整性要求。

3.10.2 作为供应商确认程序的一个部分，公司应确认承包企业、供应商或其他代表公司或公司授意产品或服务第三方供应商已经建立方针、标准、规程、行为守则，或其他文件以明确数据完整性的要求(包括在本数据完整性行为守则中概述的原则)。第三方供应商的员工需遵守其自身的数据完整性要求，并采取适当的措施来确证向其客户提供的资料与数据的准确性、真实性与完整性。

3.11 员工培训

3.11.1 公司需建立并保持员工学习管理系统，包括有关GXP文件活动的基础培训要求，其中应包括诸如在数据完整性行为守则要素中包含的数据完整性概念与原则以及员工应如何向公司管理层报告可疑的数据完整性问题。公司必须为所有员工提供需要的信息与学习，使员工理解公司的数据完整性要求，以及与其GXP工作职能相关的药政当局要求。

3.11.2 公司需制定规程要求所有员工在允许进行GXP活动前已经接受了所要求的有关文件与数据完整性的基础培训，并且每名员工必须接受年度再培训。

3.11.3 管理层需至少每年对文件与数据完整性基本要求培训记录进行审核，确认员工在允许实施GXP活动前已经接受了所要求的培训，并确认每名员工已经接受了年度再培训。