文/耿祥彬 杨双杰 董炎超
古希腊哲学家亚里士多德曾说过:“法律就是秩序,有好的法律才有好的秩序。”时代的进步必然会带来新的问题,并会有相应的法律对这些问题进行规制,这既是时代的智慧,也是时代的发展规律。对于制药行业来说,大数据时代的到来推动了无数制药企业的数字化与“数智化”进程。但是,随着数字化步伐的加快,被繁荣的数据前景所掩盖的问题也逐渐显现,其中数据泄露、损毁、丢失成为最主要的安全风险之一。对此,我们需要提高对数据安全的重视,对责任主体进行追责,对数据安全的制度进行完善。对于制药行业来说,数据完整性是一个极其敏感的话题,在此我们将对制药设备的数据完整性管理进行讨论。
定义
在进行后续的探讨之前,我们首先需要知道什么是数据完整性。其广义是指企业所有数据的真实性、完整性及可追溯性,并涉及了有效性和一致性;狭义是指实验室QC(质量控制)数据的完整性、真实性;另外,也可以指计算机化系统的管理与
验证。
应保证所有数据在整个生命周期内的完全性、一致性和准确性。对FDA而言,Application data integrity(应用程序数据完整性)就是数据诚信问题。
数据完整性的法律依据
美国cGMP(动态药品生产管理规范)指出实验室记录应包括[1]:
1.保证符合已制订的规格和标准的全部完整的检验(包括检查和分析)资料。
2.过程中获得的全部资料的完整记录。
3.检验有关的全部计算记录、 依照制订的标准,由另一人员复查原始记录的准确性和完整性。
4.任何修改已制订、应用的检验方法的完整记录。
我国2010版GMP(药品生产管理规范)对数据与记录管理的要求有[2]:
1.记录应及时填写,内容真实,字迹清晰、易读,不易擦除。
2.记录应保持清洁,不得撕毁和任意涂改,记录填写的任何更改都应签注姓名和日期,并使原有信息仍清晰可辨。
3.与本规范(GMP)有关的每项活动均应当有记录,以保证产品生产、质量控制和质量保证等活动可以追溯。
4.记录的准确性应经过核对,如果使用电子数据处理系统,只有授权人员方可通过计算机输入或更改数据,更改和删除情况应有记录。关键数据输入后,应由他人独立进行复核。
5.每批产品的检验记录应当包括中间产品、待包装产品和成品的质量检验记录,可追溯该批产品。
我国《药品记录与数据管理要求(试行)》 中对数据管理的要求有[3]:
第二十四条 对于活动的基础信息数据和通过操作、检查、核对、人工计算等行为产生的行为活动数据,应当在相关操作规程和管理制度中规定记载人员、记载时间、记载内容,以及确认与复核方法的要求。
第二十五条 从计量器具读取数据的,应当依法对计量器具进行检定或校准。
第二十六条 经计算机(化)系统采集、处理、报告所获得的电子数据,应当采取必要的管理措施与技术手段:
(一)经人工输入由应用软件进行处理获得的电子数据,应当防止软件功能与设置被随意更改,并对输入的数据和系统产生的数据进行审核,原始数据应当按照相关规定保存;
(二)经计算机(化)系统采集与处理后生成的电子数据,其系统应当符合相应的规范要求,并对元数据进行保存与备份,备份及恢复流程必须经过验证。
第二十七条 其它类型数据是指以文档、影像、音频、图片、图谱等形式所载的数据;符合下列条件的其它类型数据,视为满足本要求规定:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)数据形式发生转换的,应当确保转换后的数据与原始数据一致。
数据完整性的核心:
ALCOA+CCEA 原则[4]
ALCOA+CCEA原则不仅是GMP对记录完整性的要求,也是所有符合性审核对记录完整性的基本要求,是信用的基石。ALCOA及CCEA的具体含义如表1所示。ALCOA+CCEA原则实际上就是对记录生成/录入、修改、存储、检索、备份、恢复和输出等数据生命周期内所有操作的要求。如果这些操作符合了以上原则,记录的完整性就满足要求了。
表1 ALCOA 及CCEA 的含义
关于质量评估,《数据完整性指南》提出应采用ALCOA和ALCOA+等国际通行原则作为评估要求并需要设计相应的具体指标。ALCOA原则是美国FDA于2007年在其指导原则《临床研究中使用的计算机化系统》中提出的,而ALCOA+原则是欧盟GCP(药物临床试验质量管理规范)监察官工作组(EU GCPIWG)于2010年在其发布的《关于临床试验中对电子源数据和转录成电子数据收集工具的期望的反馈书》中阐释的。而NMPA《药品记录与数据管理要求(试行)》中的数据管理原则如表2所示。
表2 数据管理原则
如何实现数据完整性
实现数据完整性需要从管理和技术两个维度来考虑。
数据完整性管理
企业是维护数据安全的最重要的基础实践部分之一,也是实现数据完整性的第一责任对象。因此,应充分发挥企业在数据安全建设中的核心地位,对企业参与治理的积极性进行鼓励并且给予一定的指导。政府应提升企业自身的责任意识,增强企业间的沟通,创设数据安全风险监控和安全事件报告的义务,提升网络运营者和关键信息基础设施运营者对数据安全管控义务的认识,对于违背规定义务的企业给予严惩。同时,随着国际贸易的增多,跨境企业需要对跨境数据流动管理投入更多的资金,对于公司拥有的或由其他途径得到的国内群众的个人信息数据、政府数据和相关行业数据进行保护,适当地对跨境数据进行预审查,建立健全企业的安全管理配套手段,在获取自身利益的基础上 ,履行自身应承担的责任。
数据完整性技术
数据完整性相关的技术主要有以下三点:
1.身份认证技术
身份认证技术是当前检验用户信息是否合法的主要手段之一。身份认证方式主要有三种:
(1)双重认证,如网站中经常出现的账号密码验证加验证码验证的身份认证方式;
(2)数字证书,如线上买票时所输入的身份证信息、考试报名时所输入的个人信息等;
(3)鉴别交换机制,如办电话卡时电话运营商要求进行的视频验证等。
2.加密压缩包
加密压缩包的实质是,先压缩要发送的数据,然后对所获得的压缩包进行加密。这是当前较为常见的加密手段之一。压缩包的形式主要有两种,一种是ZIP,一种是RAR。无论是何种类型的计算机系统,都支持这两种类型压缩包的解压。而且,二者都具备密码设置与修改功能。加密压缩包要求消息接收者使用加密密码进行压缩包信息读取。此加密手段除了可以保证数据信息的安全性的完整性之外,还能够有效减少对计算机存储空间的使用,提高计算机的运行速度。
3.入侵检测系统
入侵检测系统指入侵检测的硬件设备与软件的有机结合,主要负责网络数据信息的实时监控。其核心功能是发现违反安全策略的行为,一旦计算机系统遭到入侵,它就会立刻发出警报。入侵检测也分为两种,一种是以标志为基础,另一种以异常情况为基础。以标志为基础的入侵检测,其检测方法与杀毒软件类似:它会首先对违反安全策略的行为下定义,然后检测所定义行为是否在计算机中出现。以异常情况为基础的入侵检测,则会首先对计算机的正常运行参数进行定义,然后将当前的计算机运行参数与所定义参数进行比对,从而检测计算机是否受到外界的影响。
如何保障数据完整性 [5]
企业在完成数据完整性的设计与实现后,还需要注意实际运行中的正确使用和维护,以保证各个系统的数据完整性都处于一个可持续的状态。我们需要建立完善的数据管理体系(如备份系统双活、存储空间冗余等),并对数据管理做周期性回顾(如定期还原测试等)。对于关键数据还需要定期进行核对,对数据操作日志进行检查,以保障所有的操作都在授权范围内并有完整的记录。
总结
现代科技正飞速发展,大数据、云计算及人工智能技术的广泛应用,制药领域的数字化已成为大趋势,但我们必须在发展和合规之间做好协同,以保证在合规的前提下,稳步发展,实现数字化的目标。我们在建立完善的制药设备数据完整性管理制度与措施时,也是在加强对制药法规的理解与敬重,加深对数据安全的认识与理解。
【参考文献】
[1]FDA. Current Good Manufacturing Practice of Medical Products[Z].2003-12.
[2]中华人民共和国卫生部.药品生产质量管理规范(2010年修订),第八章,第十章[Z].(2011-01-17).http://www.gov.cn/gongbao/content/2011/content_1907093.htm.
[3]国家药品监督管理局.药品记录与数据管理要求(试行),第五章 [EB/OL].(2020-06-24).https://www.nmpa.gov.cn/yaopin/ypggtg/ypqtgg/20200701110301645.html.
[4]邢永恒,赵玉才,白凤英.药品GMP教程[M].北京:化学工业出版社,2015.
[5]朱建彬.计算机网络安全与数据完整性技术[J].信息技术与信息化,2018,(11):81-83.
2024-09-02
2024-09-04
2024-09-23
2024-08-28
2024-09-27
2024-08-27
2024-09-09
近年来,RNA疗法及其在疾病治疗中的潜力备受关注,今年诺贝尔生理学或医学奖授予微小RNA(microRNA)领域的研究更是将这一热度推向高峰。在新药研发蓬勃发展的今天,小核酸药物被视为继小分子药和抗体药之后的“第三次制药浪潮”的关键力量。
作者:崔芳菲
评论
加载更多