去中心化临床试验中的供应商合规管理
2023-04-17葛永彬
葛永彬
北京市中伦(上海)律师事务所
董剑平
北京市中伦(上海)律师事务所
邵亚光
北京市中伦(上海)律师事务所
远程智能临床试验或去中心化临床试验(decentralized clinical trials,DCT)是一种贯彻“以患者为中心”理念的新型临床试验模式,在我国已经初步落地并逐步形成了可推广的运行管理方式。DCT 具备改善受试者可及性和便利性、提高临床研究质量与效率、降低研究成本等特点[1]。国家药品监督管理局药品审评中心(以下简称药审中心)于2023年7月27日正式发 布并施行《以患者为中心的药物临床试验设计技术指导原则(试行)》《以患者为中心的药物临床试验实施技术指导原则(试行)》《以患者为中心的药物获益-风险评估技术指导原则(试行)》(以下统称DCT 指导原则)。DCT 指导原则系统阐述了如何在临床试验中体现“以患者为中心”的理念,勾勒了各方协作构建更符合患者需求的临床试验活动生态场景,将对指导DCT 在我国实践产生积极影响。
DCT 的实施是在数字场景下利用远程智能技术手段,对传统的受试者招募、知情同意、试验用药品管理、受试者访视、实验室检测、试验记录和数据管理、质量控制等环节进行革新。这其中离不开各环节新技术服务供应商的参与。然而,采用新方法、新模式开展临床试验依然要保证药物临床试验过程规范,数据和结果科学、真实、可靠,以保护受试者的权益和安全。如何缓解追求新型临床试验设计目标(包括对患者更加可及、友好、便利等)与恪守临床试验传统监管要求之间可能的“紧张”关系,如何找准DCT 模式中的新生监管靶点,如何积极防范远程智能技术供应商参与DCT 带来的合规风险,成为药品监管部门、申办者、研究者、临床试验机构等各方须共同携手应对的新课题。
一、DCT 供应商合规管理的必要性
(一)DCT 供应商合规是新型临床试验质量控制的关键环节
DCT 之所以得以实现,是因为传统的患者招募、知情同意、试验用药品的供给和管理、访视、监查、受试者补偿等环节都可以借助远程智能技术服务供应商的力量由传统的现场临床试验转变为场景可选的新型临床试验模式。《药物临床试验质量管理规范》(GCP)第三十一条要求申办者基于风险进行质量管理,从供应商、计算机化系统、标准操作规程等系统层面识别影响临床试验关键环节和数据的风险。在智能化临床研究中,如何评价开发系统的企业资质也是推进智能化临床研究的关键点之一[2]。因此,充分认识到DCT 供应商的加入对传统临床试验生态体系的重构,进而识别并控制DCT 供应商在实施各项临床试验职责中的合法合规性风险是申办者开展临床试验质量管理的重要内容。
一方面,DCT 供应商是否熟悉相关法律法规和GCP 的要求成为影响临床试验质量的重要问题。临床试验的质量管理是临床试验的核心内容,直接关系到试验数据的真实性、试验结果的可靠度[3]。DCT 供应商受托实施各项临床试验任务,应当实施质量保证和质量控制,否则临床试验各参与方的合规问题最终会传导,进而影响临床试验的合规。例如,在DCT 患者招募供应商未能对受试者个人信息进行一定程度去标识化处理时,将可能导致受试者隐私泄露,数据安全失控;未能建立药物全流程质量控制(包括取药、发药、药物运输、药物签收、药物服用要求、受试者服药依从性跟进、药物返还等环节)时,将使得药物直达患者(direct to patient,DTP)环节不合规;采用电子化临床结局评估(electronic clinical outcome assessment,eCOA)收集患者体验数据时不能保证受试者填报电子日志后无法修改,将使得eCOA 数据真实性和准确性存疑等。
另一方面,申办者的临床试验的质量管理体系应当覆盖临床试验的全过程,包括临床试验的设计、实施、记录等环节。随着临床试验参与方的增多,申办者应当将供应商管理纳入临床试验质量管理体系,否则申办者的质量保证和质量控制便无法保证。当申办者经评估认为可采用远程知情同意、远程访视、DTP 等新模式开展临床试验时,申办者应当在临床试验项目启动前对相关拟参与的供应商开展合法合规性尽职调查,并根据调查结果和规范性要求完善申办者与供应商签署的合同,还需针对供应商开展“全链条”和“全生命周期”合规管理,以确保临床试验质量,预防潜在风险,保障试验过程的合规。
提前识别并控制供应商潜在风险同样体现在ICH《E6(R3):药物临床试验质量管理规范》(原则及附件1 草案)中,其规定应确定试验质量的关键因素(即关键数据和流程)以及影响这些关键因素完整性并最终影响试验结果可靠性的风险因素。DCT 供应商本身资质的违法违规以及受托实施临床试验职责的不当履约行为均可能构成影响临床试验质量的潜在风险。因此,对DCT 供应商进行合规管理是新型临床试验质量管理的重要内容。
(二)DCT 供应商合规是启动药品注册核查考虑的潜在风险因素
2022年1月1日起实施的《药品注册核查检验启动工作程序(试行)》(以下简称《启动工作程序》)对参与药学研制、临床试验、药理毒理学研究以及生产制造的相关单位和机构,即“全链条”研发生产主体及药物研发“全生命周期”合规风险提出核查要求,明确了启动药品注册核查的对象、启动药品注册核查的风险考虑因素、核查原则和程序等问题[4]。启动药品注册核查考虑的风险因素之一是研发生产主体合规因素,诸如,研发生产主体的风险等级、既往接受核查情况及重大不合规问题等。药审中心在临床试验和药学研制与生产中重点关注的重大不合规问题包括质量管理体系是否合规,受试者权益是否得到有效保障,临床试验或研发数据的真实性、可靠性及完整性是否存疑,法规依从性是否得到保证等。
具体到DCT 中,临床试验质量管理同样存在常见的合规问题,包括:eCOA 采集的临床试验记录不符合逻辑;伦理委员会未对DCT 修订方案及电子知情同意内容进行审查;试验用药品部分原始记录不完整;不良事件判断不合理、描述不规范、记录不及时;电子支付未能保护受试者个人信息等。申办者是临床试验数据质量和可靠性的最终责任人,当申办者将临床试验部分或全部工作委托给从事DCT 的供应商时,若受托主体自身受到有因检查或发生重大不合规问题以及因其他不合规因素进而触发药品注册核查,不仅申办者的药品注册申请将受到影响,而且申办者自身的合法合规信用也可能受到挑战和质疑。因此,申办者应当在与各供应商的协议中明确定义临床试验的职责、分工并适当地记录。对于委托给各供应商的工作和任务,申办者应对上述活动进行必要地监督。
二、DCT 供应商合规管理面临的主要问题
(一)DCT 供应商合规风险不明确
DCT 涉及的服务供应商众多,包括远程访视服务供应商、远程知情同意服务供应商、智能招募服务供应商、远程监查服务供应商、DTP 服务供应商、电子支付服务供应商、eCOA 服务供应商、呼叫中心服务供应商等。根据《药品管理法》《疫苗管理法》《药品管理法实施条例》以及GCP 的有关规定,上述供应商在提供DCT 服务过程中面临的合法合规性义务不尽相同。目前,因不同供应商的合规问题导致的药物临床试验质量出现的问题尚无明确统一的梳理和界定,这使得药品监管部门、申办者、研究者、临床试验机构等各方缺乏监管或是风险控制抓手,更阻碍了DCT体系的建设进程。
(二)DCT 供应商合规自律尚无制度化要求
目前,DCT 服务供应商数量呈逐年上升的趋势,这也从侧面反映出DCT 模式对于提升临床试验效率、促进药物研发成效显著。由于DCT 等新型临床试验模式尚处于试点探索初期,各相关方对于何为科学规范、可推广的DCT 运行管理和监管模式尚无定论。例如,对于DCT 供应商,监管部门或行业组织尚无固定的合规监管计划安排,在重点领域和关键环节判定、风险识别以及重点检查范围划定等方面也无常态化要求。因此,无论是内部还是外部,DCT 供应商行业都尚未建立并运行成熟的质量管理体系,严格实施标准操作规程,及时研判并适应外部法律政策环境等,这可能会给DCT 未来的成熟发展带来风险。
(三)DCT 供应商行业合规建设尚未形成
一是法律法规尚不健全。针对远程智能技术服务供应商,尚未出台供应商管理的规范性文件,包括数据供应商质量管理规范(质控体系)、对供应商的招采信用评价制度等。二是行业监管缺位。以“可靠性、可控性和安全性”为核心的市场准入与退出门槛不明确;对失信和违约行为的惩戒措施与法律责任不明确等。三是行业自律不充分。具有公信力的官方组织或社会团体尚未承担开展社会评级的职能,可供业内公开使用的信用评价成果缺乏;从业人员准入资格标准缺乏;未能定期对从业人员进行充分的网络安全、数据安全以及个人信息保护制度培训;未能定期对从业人员进行职业道德教育;“合规从业、维护安全、良性竞争”的从业氛围不够浓厚等。
三、DCT 供应商合规管理要求
DCT 供应商作为临床试验项目的参与方,应当实施质量保证和质量控制,以及接受申办者对外包工作的监管。DCT 的出现和发展必然会改变或拓展“试验现场(实施临床试验相关活动的场所)”的概念,未来临床试验的发生地很可能是多个空间场所的组合[5]。虽然,临床试验的多方利益相关者目标一致,均是以患者为中心,为患者提供好药并增加可及性,但开展数字化临床试验应谨慎,须关注安全性和数据可靠性[6]。为了保证药物临床试验过程规范,数据和结果的科学、真实、可靠,保护受试者的权益和安全,DCT 供应商需遵守的合规管理要求包含共性要求和特殊要求两个方面。
(一)DCT 供应商合规管理共性要求
根据GCP 对临床试验活动,尤其是试验管理、数据处理与记录保存环节符合试验方案、标准操作规程和相关法律法规的总体要求,DCT 供应商应当恰当、真实、完整记录DCT 服务过程中所产生的数据并保证可溯源。药物临床试验数据是否真实可靠,决定了上市药品的安全性和有效性[7];与研究机构或研究者协商确定DCT 系统的源数据、源文件,供申办者进行监查和稽查,以及供药品监管部门进行检查;实施数据安全和隐私保护措施,包括但不限于数据加密、身份验证和授权控制,以保护受试者的隐私和数据的安全;提供安全的数据传输和存储解决方案,以保护受试者的隐私和试验数据的完整性;在数据收集、使用、传输和存储过程中实施严格的数据脱敏和加密措施,以确保受试者个人信息权益和隐私权得到良好保护。DCT 并不是复制或取代传统临床试验,临床试验的独特性与复杂性决定了每一项试验在方案设计上要做到平衡传统临床试验与DCT 元素,都需要根据试验的具体情况考量决定[8]。
(二)DCT 供应商合规管理特殊要求
1.远程访视服务供应商职责
采取相应手段确认每次参加访视人员为受试者本人;提供清晰、稳定、实时的视频和音频通讯服务,使研究者和受试者能够进行有效的远程交流;提供可记录和回放的视频会议功能,便于记录访视过程,以确保试验的完整性和质量;确保访视原始数据的有效保存及可溯源。
2.远程知情同意服务供应商职责
提供电子签名和文档管理系统,以便受试者能够远程阅读和签署知情同意书;避免不熟悉电子方式的受试者(包括老年人群等)的权益受损;为研究者和受试者提供知情同意过程的视频连线和在线提问答疑服务,以确保受试者充分理解试验的目的、程序和潜在风险。
3.智能招募服务供应商职责
合规获取潜在受试者个人信息;提供与医疗机构的系统集成解决方案,以便在医疗机构的数据库中进行初步的受试者筛选。
4.远程监查服务供应商职责
保证远程监查中的数据安全;提供安全、可靠的远程监查平台,以便研究者和监查人员能够实时访问和审核试验数据。
5.DTP 服务供应商职责
提供安全、可靠、及时的药物配送服务,确保受试者能够按照临床试验的要求接收到药物;提供符合法规要求的药物储存和管理服务,包括但不限于药物的接收、存储、分发和退还等;对于需要在特定温度条件下运输和储存的药物,应提供可靠的温度控制和监控解决方案。
6.电子支付服务供应商职责
提供快速、准确的支付处理服务,确保受试者和其他相关方能够及时接收到相应的补偿;设计并实施有效的支付审核和验证流程,以防止错误支付和欺诈活动。
7.eCOA 服务供应商职责
提供可靠、易用的eCOA 平台,使受试者和研究人员能够便捷、准确地记录和提交临床结局数据;实施合法有效的数据收集和处理流程,确保临床结局数据的准确性和完整性。
8.呼叫中心服务供应商
提供全天候的电话支持服务,以便记录和向研究者及时传达受试者的问题和情况;提供紧急联系服务,以便在必要时为受试者提供及时的支持和援助。
四、DCT 供应商合规评估措施
(一)评估目标
为落实《药品注册管理办法》以及GCP、DCT 指导原则等有关要求,根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求以及安全监管需要,对DCT 供应商的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等远程智能技术应用进行安全评估,及时发现存在的安全问题和风险隐患,督促DCT 供应商健全安全制度、改进安全措施、堵塞安全漏洞,能够进一步提高DCT 供应商在临床试验活动中的质量管理能力。
(二)评估内容
基于DCT 供应商采用的DCT 系统涉及的数据处理活动,需围绕经营业绩、合规管理、系统稳定性和功能、网络安全和信息安全等方面开展DCT 供应商评估。DCT 供应商评估的内容包括但不限于:DCT 供应商的企业信息、资质证照、历史业绩、过往监管核查等基本情况;DCT 供应商过去3年经营发展的合规情况(结合裁判文书、行政处罚决定文书)、供应商的内部质控体系和标准操作规程、供应商过往客户的访谈评估、供应商的实际控制人及其关联企业的信用水平以及是否存在违法违规或重大违约情况;可能影响国家安全、公共利益、临床试验开展或者个人、组织合法权益的数据安全问题和风险;患者及相关人员个人信息和临床试验数据采集、存储、委托处理、向境外提供等处理活动中的数据安全问题和风险;DCT 供应商的项目综合管理水平、后期运营维护水平、医疗信息系统开发合作经验和对医疗行业政策的敏感度和执行力等。
(三)评估手段
开展DCT 供应商评估时,可以综合采取下列手段进行评估:①文档信息审阅。核查并审阅企业设立和变更登记档案、各项资质证照、历史合同资料、数据安全和个人信息保护管理制度、个人信息保护影响评估报告、网络等级保护测评报告等。②相关人员访谈。核查企业内部的网络安全规章制度和安全防护措施执行情况,评判相关人员的安全职责划分是否周密合理。③信息安全核查。了解DCT 系统开发所具备的各项功能;专业检测网络环境、DCT 系统模块和大数据平台等相关系统和设备的安全策略、配置、防护措施情况。④网络技术评价。采用技术工具、渗透测试等手段查看企业的数据资产情况、检测防护措施的有效性。
(四)评估结果应用
1.风险分析与评价
基于尽职调查梳理出问题清单,分析可能存在的业务经营、数据安全、个人信息保护风险。基于实际情况,对安全风险进行评价。风险评价主要考虑风险一旦发生可能对申办者、医疗机构、其他组织或者个人的合法权益造成的影响,以及对风险发生的可能性进行综合评价。
2.提出整改建议
结合实际情况,针对发现的安全问题或风险,提出管理、技术等方面的问题整改或风险处置建议。
(五)动态管理和评估
申办者应持续跟踪供应商的履约情况,并对其进行动态评价,应涵盖风险整改情况、技术水平、服务质量、响应速度、合同执行、服务保障及运行绩效等关键指标。评价结果不仅用于监控供应商的绩效,也作为调整合作关系的依据。基于评估结果,还应制定明确的退出机制,对于未能满足合规要求的供应商,应采取严格措施,包括扣分、暂停合作、列入黑名单等,并且应当对这些措施进行公开透明的公示,以提升整个行业的合规性和透明度。这种动态管理机制有助于申办者及时发现并纠正供应商的不足,确保临床试验质量,保护受试者安全,同时促进整个DCT 体系健康有序的发展。
五、探索建立DCT 供应商合规管理措施
(一)完善法律法规体系
目前,我国关于DCT 的规定分散于不同法律法规、规范性文件和技术指导原则中,尚缺乏统一集中的成文规定。DCT 元素中,目前药物配送、中心化远程监查成熟度相对较高;而移动医疗服务的成熟度相对较低,由于地区差异性较大,不能照搬经验,对落地转化的要求较高[9]。无论是对于申办者履行对DCT 供应商质量管理的监督责任,还是对于药品监管部门开展检查执法活动,都可能面临法律法规等适用片面不完整的难题。随着全国DCT试点工作的不断推进,建议相关部门应适时总结可推广的DCT运行管理和监管模式,制定统一融合的DCT 实施指导技术原则,使得DCT 供应商监管有法可依,为构建DCT 模式生态体系确立清晰可执行的操作指南。
(二)强化政府监管
医药行业事关人民群众的生命健康,行业生态建设离不开政府监管的“有形之手”。作为一个高度专业化的领域,药物临床试验的各参与方必须执行相关法律法规以及GCP 等相关规定,所有活动均应纳入政府的监管范畴中。对于管理理念,监管部门应发挥管理、服务及引导职能[10]。本文也探索性地提出几点强化政府监管的建议。一是探索构建市场准入机制,设立DCT 供应商资质许可(经营范围、特殊的行政许可)或是增设医疗远程智能技术从业人员资格考试、医疗数据从业企业服务能力认证等。二是用好行政权力,开展动态经营监管,包括:①建立DCT 供应商招采信用评价机制。围绕网络安全、数据安全和个人信息保护建立失信行为清单;根据失信行为的性质、情节、时效、影响等因素,进行等级评价;合理利用等级评价结果,如行业通报、限制采购等;建立失信信用修复机制,如提交合规整改报告并接受合规检查。②定期监督检查。定期发布临床试验远程智能技术应用中的监督检查合规治理重点;制定年度监督检查计划,对不同DCT供应商的可靠性、可控性和安全性进行评测;对违法行为采取约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议等监管手段。相关监管部门需要协调一致,共同对远程临床中的各环节进行质量把控,从严处罚损害受试者权益或危害临床试验数据安全的违法违规行为,及时解决新型临床试验模式可能面临的新问题。
(三)行业自律合规管理
打铁还需自身硬,DCT 供应商须先提高自身合规自律水平。一是遵守法律法规,重点关注《药品管理法》《疫苗管理法》《药品管理法实施条例》以及GCP 等有关规定,还有招标投标以及医疗机构招标采购相关制度,网络安全、数据安全、个人信息保护等相关的法律法规。二是构建内部质量管理规范,建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度;以提升可靠性、可控性和安全性为核心,构建各类标准操作规范;积极参加并通过境内外行业认证。三是严格履行合同义务,根据临床试验参与方职责,实现承诺的远程智能技术功能。在约定的数据处理目的、方式、范围内履行安全保护责任、保密约定等,遵守各方之间的数据安全责任;以及认真履行后期运维响应义务。四是严防网络数据安全风险,包括收集的临床试验数据不得存在未授权、失效、不符合预期等问题;不得超出预定范围公开患者的健康医疗数据,造成数据泄露等。
在推动构建DCT 供应商合规监管的过程中,作为对药品监管部门有限的监管资源的补充,可以考虑引入专业第三方临床合规管理机构,辅助申办者对DCT供应商实施合规性评估和管理,确保DCT 事前、事中和事后“全流程”的规范性和科学性,从而促进整个行业的健康发展。同时,这也有助于申办者和供应商更好地理解和落实合规要求,保护受试者的权益,促进多方协同工作,共同提升DCT 供应商的合规能力。
(四)探索建立DCT 供应商“白名单”制度
积极构建DCT 供应商“白名单”制度,通过确立优质的DCT供应商标准、鼓励供应商积极提高自身实力跻身优质榜单、申办者把好入门关并实施供应商动态管理、强化行业监管、推动构建行业自律、实施信用评价闭环管理等落地措施,形成“远程智能技术优质供应商榜单”等可视化的“白名单”。
进入“白名单”的企业,有权积极参加DCT 等新型临床试验项目。对于有失信行为的留观企业,应当重点做好失信行为认定和失信惩戒。对于退出“白名单”的企业,应当鼓励信用修复,包括采取终止相关失信行为、处置失信责任人、提交合规整改报告并接受合规检查、公开发布致歉声明消除不良影响等。
笔者认为,还可以探索选择有公信力的官方组织、社会团体、学术媒体等作为社会评级机构,例如《中国食品药品监管》《中国卫生信息管理杂志》等。通过实施DCT 供应商“白名单”制度,推动构建以法律为准绳、以市场调节为导向的选拔和淘汰机制,实现DCT 模式生态体系中各方高效匹配、合作共赢、良性循环。
六、结语
供应商合规管理离不开政府监管、社会评价和自身建设。在监管层面,制定明确的政策框架,引导和规范DCT 供应商的行为,确保其符合行业标准和法规要求。社会评价方面,申办者动态评估及专业合规管理对于供应商的质量管理至关重要,以形成一个全面的供应商评价和信用体系。就自身建设而言,供应商应加强内部合规管理,建立合规体系和操作流程,以确保可持续满足临床试验监管核查要求。
