FDA 最终确定关于临床试验中使用第 11 部分电子系统、记录和签名的指南

FDA Finalizes Guidance on Use of Part 11 Electronic Systems, Records and Signatures in Clinical Investigations

2024年10月1日，美国食品药品监督管理局（FDA）发布了关于在药物、医疗器械、生物制品、食品、烟草产品和新动物药物的临床试验中使用电子记录的最终指南。该指南旨在帮助包括申办者、临床研究者、机构审查委员会（IRB）和合同研究组织（CRO）在内的广泛利益相关者遵守良好临床实践。FDA的新指南讨论了相关利益相关者如何在数字世界中应对第11部分合规要求，以保持电子记录、数字健康技术数据和电子签名（e-signatures）的可追溯性和责任性。

第11部分的历史和临床试验

1997年，FDA最终确定了21 CFR 第11部分，建立了有关电子记录和电子签名的FDA法规。2003年，FDA发布了关于第11部分的指南，讨论了其范围和应用。认识到过去几十年技术的进步，FDA于2017年发布了草案指南，提供了进一步的建议，特别是关于2003年首次提出的基于风险的电子系统验证方法。新冠疫情爆发后，许多申办者和研究者大量依赖远程技术继续进行临床试验，FDA于2023年发布了修订后的草案指南。

2024年10月发布的最终指南包括29个问题，涉及电子记录、受监管实体部署的电子系统、信息技术服务提供商和服务、数字健康技术（DHTs）和电子签名。

最终指南的关键条款

电子记录

• 真实世界数据的来源。FDA澄清，对于作为真实世界数据来源的电子健康记录或其他电子系统，不需要遵守第11部分。只有当电子记录被输入到申办者的电子数据捕获（EDC）系统中时，FDA才会评估第11部分的合规性。
• 在美国境外进行的试验。第11部分适用于任何需要以电子形式保存的记录。这包括任何用于支持新药研究申请（IND）或上市申请的外国临床试验，即使该研究未在IND下进行。
• 记录保留。FDA在记录保留方面不区分电子数据和其他形式的数据。在检查期间，受监管实体应提供所有重建临床试验所需的记录和数据，包括元数据（例如，原始数据的获取时间和日期，以及对数据所做的更改）和审计追踪。如果记录仅以电子形式存在，应有备份和恢复程序。

受监管实体部署的电子系统

• 电子系统的验证。在临床试验中使用前，电子系统应进行验证。
• FDA对电子系统的检查。对于每次临床试验，申办者和临床研究者应记录：

1. 用于创建、修改、维护、归档、检索或传输相关电子记录的电子系统。
2. 系统要求。

申办者和临床研究者应准备好向FDA提供以下信息：

• 系统验证。
• 使用系统的员工培训。
• 系统访问、数据创建、数据修改和数据维护的程序和控制。
• 关于在临床试验中使用电子系统的文件，包括访问权限以及源记录的备份、恢复和应急计划。
• 安全措施。申办者和临床研究者必须限制系统访问，仅授权用户可以访问，并记录所有有权访问电子系统的临床试验人员及其权限的任何更改。申办者和临床研究者应维护审计追踪，以捕捉访问并保护此类信息免受修改。记录应注明任何更改的日期和时间，包括做出更改的个人及其原因。

信息技术服务提供商和服务

• 承包商。受监管实体可以与IT服务提供商签订合同，但受监管实体仍需确保第11部分的合规性。

数字健康技术（DHTs）

随着技术的进步和去中心化临床试验的扩展，申办者已将DHTs整合到试验设计中，以更频繁和连续的时间点获取更多真实世界数据。DHTs的使用是FDA的重要优先事项，FDA已建立数字健康卓越中心，并发布了关于在药物和生物制品开发中使用DHTs的框架，以及其他近期举措。在此指南中，特别提到了DHTs在适当传输DHT数据到申办者的电子存储库以及保护此类数据免受未经授权操作方面的应用。

• 识别数据来源者。作为审计追踪的一部分，每个电子数据元素应与一个有权通过安全数据传输协议输入、更改或传输数据元素的数据来源者关联。申办者应编制并维护一份授权数据来源者的名单，并在FDA检查时提供该名单。
• 数据归属。申办者应确保使用DHT获得的数据正确归属于数据来源者。重要的是，DHTs应设计为防止未经授权对存储在DHT上的数据进行更改（例如，佩戴DHT的参与者）。临床研究者应正确培训参与者使用试验中使用的DHT，并记录培训情况。
• 从DHT传输数据到电子数据存储库。DHT数据及其相关的元数据应通过经过验证的过程传输到持久的电子数据存储库（如申办者的EDC），该存储库应包含包含传输日期和时间的审计追踪。

电子签名（e-signatures）

• 电子签名的要素。电子签名必须包含签名者的打印名称、执行日期和时间以及签名的意义。电子签名应链接到相应的电子记录。
• 电子签名的方法。第11部分并未规定必须使用特定方法。计算机可读ID卡、生物特征识别、数字签名和用户名密码组合等方法可能是可接受的方法。
• 不可否认声明。每位电子签名用户必须向FDA发送一封不可否认声明，证明电子签名意在成为传统手写签名的法律约束等效物。

在临床试验中使用人工智能

最终指南中未涉及的一个主题是在临床试验中使用人工智能（AI）以支持第11部分的合规性。临床试验申办者和其他受监管实体已经开始使用AI和机器学习工具来协助维持第11部分的合规性。例如，AI功能如面部或语音识别已实施用于验证电子签名用户。然后可以使用机器学习检测可疑活动。此外，许多DHTs可能具有嵌入式算法，或在收集数据后使用AI进行清理和整理。AI还用于从电子健康记录和医疗索赔中提取大量真实世界数据。迄今为止，FDA尚未具体提及如何处理AI，但将AI纳入运营时，确保遵守《联邦食品、药品和化妆品法》（FDCA）及其实施法规仍然是受监管实体的责任，包括第11部分。

(全文结束)