疫情后远程监查合规新边界：FDA/NMPAZui新要求

疫情后远程监查合规新边界：FDA/NMPAZui新要求

一、FDA远程监查合规要求

1. 核心原则：ALCOA+（数据可追溯性、受试者保护、试验可靠性）
   FDA强调远程监查必须确保数据真实性、完整性和可追溯性，所有电子操作（如数据查询、文件审阅）需留存不可篡改的审计日志，记录操作者、时间、内容。

2. 风险评估与动态调整

3. 书面风险评估报告：需说明选择远程监查的理由（如中心过往表现、低风险、旅行限制等），并明确哪些数据不能通过远程监查（如受试者日记卡、未电子化的原始实验室记录）。

4. 动态调整机制：当远程监查发现问题时，需立即转为现场核查，避免“一刀切”的远程模式。例如，对高风险中心增加远程监查频次，低风险中心按季度监查。

5. 技术平台合规性

6. 权限分级管理：采用基于角色的访问控制（RBAC），限制监查员（CRA）仅能查看其负责的中心数据，研究者仅能上传/修改自身中心数据。

7. 数据传输加密：使用AES-256或TLS 1.3协议加密数据，禁止通过非加密渠道（如普通邮箱）传输敏感信息。

8. 平台认证要求：核查使用的远程监查平台（如Veeva Vault、SharePoint）需符合21 CFR Part11要求，包括权限管理、审计追踪、电子签名等功能。

9. 源数据验证与视频监查记录

10. 源数据验证：核查时需随机抽取数据点（如某次访视的收缩压），展示从电子病例报告表（eCRF）到源文档扫描件（如医院电子病历系统记录）的完整追溯路径，证明扫描件与原始记录完全一致。

11. 视频监查记录：若使用视频通话核对药品库存或知情同意过程，需保存完整录像，确保核对过程与文件细节清晰可查。

二、NMPA远程监查合规要求

1. 数据原件意识与责任划分

2. 扫描件元数据保留：核查时需提供扫描件的元数据（如扫描时间、设备信息），证明其未被篡改。

3. 合同与协议责任划分：与CRO的合同需明确远程监查的质量责任（如数据质量高的中心给予奖励，违规行为进行处罚）；与研究中心的协议需明确中心提供高质量电子数据的责任（如定期提供带签名的库存记录和温度记录的扫描件）。

4. 本地化存储与隐私保护

5. 本地化存储要求：符合NMPA对电子源数据（eSource）的要求，确保数据存储在中国境内，避免跨境传输风险。

6. 隐私保护合规性：符合《个人信息保护法》要求，确保患者健康信息、基因组数据等敏感信息的采集、存储、处理与分析均获得明确告知同意，并控制权限、设立分级管理。

7. 未电子化数据管理

8. 对无法完全电子化的记录（如手写病历），要求研究者拍照上传并签署“真实性和完整性声明”。

9. 动态风险评估与标准化操作流程（SOP）

10. 动态风险评估机制：根据研究中心历史合规记录、方案复杂度、受试者数量等因素动态调整监查频率。

11. 标准化操作流程（SOP）：需明确远程监查的适用范围、操作流程、各方职责，并制定书面风险评估报告。

三、FDA与NMPA合规要求的共性

1. 数据安全与加密
   均要求使用加密技术保护数据传输安全，禁止非加密渠道传输敏感信息。

2. 审计追踪功能
   均强调审计追踪功能，确保所有操作可追溯、不可篡改。

3. 动态风险评估
   均要求建立动态风险评估机制，根据研究中心历史合规记录、方案复杂度、受试者数量等因素动态调整监查频率。

4. 人员培训与质控
   均要求对监查员进行专门培训，覆盖远程监查工具操作、监管要求解读、沟通技巧等内容，并建立内部质控机制，随机抽查远程监查记录，评估是否符合SOP。