去中心化臨床試驗中的供應商合規管理

葛永彬

北京市中倫（上海）律師事務所

董劍平

北京市中倫（上海）律師事務所

邵亞光

北京市中倫（上海）律師事務所

遠程智能臨床試驗或去中心化臨床試驗（decentralized clinical trials，DCT）是一種貫徹“以患者為中心”理念的新型臨床試驗模式，在我國已經初步落地并逐步形成了可推廣的運行管理方式。DCT 具備改善受試者可及性和便利性、提高臨床研究質量與效率、降低研究成本等特點[1]。國家藥品監督管理局藥品審評中心（以下簡稱藥審中心）于2023年7月27日正式發 布并施行《以患者為中心的藥物臨床試驗設計技術指導原則（試行）》《以患者為中心的藥物臨床試驗實施技術指導原則（試行）》《以患者為中心的藥物獲益-風險評估技術指導原則（試行）》（以下統稱DCT 指導原則）。DCT 指導原則系統闡述了如何在臨床試驗中體現“以患者為中心”的理念，勾勒了各方協作構建更符合患者需求的臨床試驗活動生態場景，將對指導DCT 在我國實踐產生積極影響。

DCT 的實施是在數字場景下利用遠程智能技術手段，對傳統的受試者招募、知情同意、試驗用藥品管理、受試者訪視、實驗室檢測、試驗記錄和數據管理、質量控制等環節進行革新。這其中離不開各環節新技術服務供應商的參與。然而，采用新方法、新模式開展臨床試驗依然要保證藥物臨床試驗過程規范，數據和結果科學、真實、可靠，以保護受試者的權益和安全。如何緩解追求新型臨床試驗設計目標（包括對患者更加可及、友好、便利等）與恪守臨床試驗傳統監管要求之間可能的“緊張”關系，如何找準DCT 模式中的新生監管靶點，如何積極防范遠程智能技術供應商參與DCT 帶來的合規風險，成為藥品監管部門、申辦者、研究者、臨床試驗機構等各方須共同攜手應對的新課題。

一、DCT 供應商合規管理的必要性

（一）DCT 供應商合規是新型臨床試驗質量控制的關鍵環節

DCT 之所以得以實現，是因為傳統的患者招募、知情同意、試驗用藥品的供給和管理、訪視、監查、受試者補償等環節都可以借助遠程智能技術服務供應商的力量由傳統的現場臨床試驗轉變為場景可選的新型臨床試驗模式?！端幬锱R床試驗質量管理規范》（GCP）第三十一條要求申辦者基于風險進行質量管理，從供應商、計算機化系統、標準操作規程等系統層面識別影響臨床試驗關鍵環節和數據的風險。在智能化臨床研究中，如何評價開發系統的企業資質也是推進智能化臨床研究的關鍵點之一[2]。因此，充分認識到DCT 供應商的加入對傳統臨床試驗生態體系的重構，進而識別并控制DCT 供應商在實施各項臨床試驗職責中的合法合規性風險是申辦者開展臨床試驗質量管理的重要內容。

一方面，DCT 供應商是否熟悉相關法律法規和GCP 的要求成為影響臨床試驗質量的重要問題。臨床試驗的質量管理是臨床試驗的核心內容，直接關系到試驗數據的真實性、試驗結果的可靠度[3]。DCT 供應商受托實施各項臨床試驗任務，應當實施質量保證和質量控制，否則臨床試驗各參與方的合規問題最終會傳導，進而影響臨床試驗的合規。例如，在DCT 患者招募供應商未能對受試者個人信息進行一定程度去標識化處理時，將可能導致受試者隱私泄露，數據安全失控；未能建立藥物全流程質量控制（包括取藥、發藥、藥物運輸、藥物簽收、藥物服用要求、受試者服藥依從性跟進、藥物返還等環節）時，將使得藥物直達患者（direct to patient，DTP）環節不合規；采用電子化臨床結局評估（electronic clinical outcome assessment，eCOA）收集患者體驗數據時不能保證受試者填報電子日志后無法修改，將使得eCOA 數據真實性和準確性存疑等。

另一方面，申辦者的臨床試驗的質量管理體系應當覆蓋臨床試驗的全過程，包括臨床試驗的設計、實施、記錄等環節。隨著臨床試驗參與方的增多，申辦者應當將供應商管理納入臨床試驗質量管理體系，否則申辦者的質量保證和質量控制便無法保證。當申辦者經評估認為可采用遠程知情同意、遠程訪視、DTP 等新模式開展臨床試驗時，申辦者應當在臨床試驗項目啟動前對相關擬參與的供應商開展合法合規性盡職調查，并根據調查結果和規范性要求完善申辦者與供應商簽署的合同，還需針對供應商開展“全鏈條”和“全生命周期”合規管理，以確保臨床試驗質量，預防潛在風險，保障試驗過程的合規。

提前識別并控制供應商潛在風險同樣體現在ICH《E6（R3）：藥物臨床試驗質量管理規范》（原則及附件1 草案）中，其規定應確定試驗質量的關鍵因素（即關鍵數據和流程）以及影響這些關鍵因素完整性并最終影響試驗結果可靠性的風險因素。DCT 供應商本身資質的違法違規以及受托實施臨床試驗職責的不當履約行為均可能構成影響臨床試驗質量的潛在風險。因此，對DCT 供應商進行合規管理是新型臨床試驗質量管理的重要內容。

（二）DCT 供應商合規是啟動藥品注冊核查考慮的潛在風險因素

2022年1月1日起實施的《藥品注冊核查檢驗啟動工作程序（試行）》（以下簡稱《啟動工作程序》）對參與藥學研制、臨床試驗、藥理毒理學研究以及生產制造的相關單位和機構，即“全鏈條”研發生產主體及藥物研發“全生命周期”合規風險提出核查要求，明確了啟動藥品注冊核查的對象、啟動藥品注冊核查的風險考慮因素、核查原則和程序等問題[4]。啟動藥品注冊核查考慮的風險因素之一是研發生產主體合規因素，諸如，研發生產主體的風險等級、既往接受核查情況及重大不合規問題等。藥審中心在臨床試驗和藥學研制與生產中重點關注的重大不合規問題包括質量管理體系是否合規，受試者權益是否得到有效保障，臨床試驗或研發數據的真實性、可靠性及完整性是否存疑，法規依從性是否得到保證等。

具體到DCT 中，臨床試驗質量管理同樣存在常見的合規問題，包括：eCOA 采集的臨床試驗記錄不符合邏輯；倫理委員會未對DCT 修訂方案及電子知情同意內容進行審查；試驗用藥品部分原始記錄不完整；不良事件判斷不合理、描述不規范、記錄不及時；電子支付未能保護受試者個人信息等。申辦者是臨床試驗數據質量和可靠性的最終責任人，當申辦者將臨床試驗部分或全部工作委托給從事DCT 的供應商時，若受托主體自身受到有因檢查或發生重大不合規問題以及因其他不合規因素進而觸發藥品注冊核查，不僅申辦者的藥品注冊申請將受到影響，而且申辦者自身的合法合規信用也可能受到挑戰和質疑。因此，申辦者應當在與各供應商的協議中明確定義臨床試驗的職責、分工并適當地記錄。對于委托給各供應商的工作和任務，申辦者應對上述活動進行必要地監督。

二、DCT 供應商合規管理面臨的主要問題

（一）DCT 供應商合規風險不明確

DCT 涉及的服務供應商眾多，包括遠程訪視服務供應商、遠程知情同意服務供應商、智能招募服務供應商、遠程監查服務供應商、DTP 服務供應商、電子支付服務供應商、eCOA 服務供應商、呼叫中心服務供應商等。根據《藥品管理法》《疫苗管理法》《藥品管理法實施條例》以及GCP 的有關規定，上述供應商在提供DCT 服務過程中面臨的合法合規性義務不盡相同。目前，因不同供應商的合規問題導致的藥物臨床試驗質量出現的問題尚無明確統一的梳理和界定，這使得藥品監管部門、申辦者、研究者、臨床試驗機構等各方缺乏監管或是風險控制抓手，更阻礙了DCT體系的建設進程。

（二）DCT 供應商合規自律尚無制度化要求

目前，DCT 服務供應商數量呈逐年上升的趨勢，這也從側面反映出DCT 模式對于提升臨床試驗效率、促進藥物研發成效顯著。由于DCT 等新型臨床試驗模式尚處于試點探索初期，各相關方對于何為科學規范、可推廣的DCT 運行管理和監管模式尚無定論。例如，對于DCT 供應商，監管部門或行業組織尚無固定的合規監管計劃安排，在重點領域和關鍵環節判定、風險識別以及重點檢查范圍劃定等方面也無常態化要求。因此，無論是內部還是外部，DCT 供應商行業都尚未建立并運行成熟的質量管理體系，嚴格實施標準操作規程，及時研判并適應外部法律政策環境等，這可能會給DCT 未來的成熟發展帶來風險。

（三）DCT 供應商行業合規建設尚未形成

一是法律法規尚不健全。針對遠程智能技術服務供應商，尚未出臺供應商管理的規范性文件，包括數據供應商質量管理規范（質控體系）、對供應商的招采信用評價制度等。二是行業監管缺位。以“可靠性、可控性和安全性”為核心的市場準入與退出門檻不明確；對失信和違約行為的懲戒措施與法律責任不明確等。三是行業自律不充分。具有公信力的官方組織或社會團體尚未承擔開展社會評級的職能，可供業內公開使用的信用評價成果缺乏；從業人員準入資格標準缺乏；未能定期對從業人員進行充分的網絡安全、數據安全以及個人信息保護制度培訓；未能定期對從業人員進行職業道德教育；“合規從業、維護安全、良性競爭”的從業氛圍不夠濃厚等。

三、DCT 供應商合規管理要求

DCT 供應商作為臨床試驗項目的參與方，應當實施質量保證和質量控制，以及接受申辦者對外包工作的監管。DCT 的出現和發展必然會改變或拓展“試驗現場（實施臨床試驗相關活動的場所）”的概念，未來臨床試驗的發生地很可能是多個空間場所的組合[5]。雖然，臨床試驗的多方利益相關者目標一致，均是以患者為中心，為患者提供好藥并增加可及性，但開展數字化臨床試驗應謹慎，須關注安全性和數據可靠性[6]。為了保證藥物臨床試驗過程規范，數據和結果的科學、真實、可靠，保護受試者的權益和安全，DCT 供應商需遵守的合規管理要求包含共性要求和特殊要求兩個方面。

（一）DCT 供應商合規管理共性要求

根據GCP 對臨床試驗活動，尤其是試驗管理、數據處理與記錄保存環節符合試驗方案、標準操作規程和相關法律法規的總體要求，DCT 供應商應當恰當、真實、完整記錄DCT 服務過程中所產生的數據并保證可溯源。藥物臨床試驗數據是否真實可靠，決定了上市藥品的安全性和有效性[7]；與研究機構或研究者協商確定DCT 系統的源數據、源文件，供申辦者進行監查和稽查，以及供藥品監管部門進行檢查；實施數據安全和隱私保護措施，包括但不限于數據加密、身份驗證和授權控制，以保護受試者的隱私和數據的安全；提供安全的數據傳輸和存儲解決方案，以保護受試者的隱私和試驗數據的完整性；在數據收集、使用、傳輸和存儲過程中實施嚴格的數據脫敏和加密措施，以確保受試者個人信息權益和隱私權得到良好保護。DCT 并不是復制或取代傳統臨床試驗，臨床試驗的獨特性與復雜性決定了每一項試驗在方案設計上要做到平衡傳統臨床試驗與DCT 元素，都需要根據試驗的具體情況考量決定[8]。

（二）DCT 供應商合規管理特殊要求

1.遠程訪視服務供應商職責

采取相應手段確認每次參加訪視人員為受試者本人；提供清晰、穩定、實時的視頻和音頻通訊服務，使研究者和受試者能夠進行有效的遠程交流；提供可記錄和回放的視頻會議功能，便于記錄訪視過程，以確保試驗的完整性和質量；確保訪視原始數據的有效保存及可溯源。

2.遠程知情同意服務供應商職責

提供電子簽名和文檔管理系統，以便受試者能夠遠程閱讀和簽署知情同意書；避免不熟悉電子方式的受試者（包括老年人群等）的權益受損；為研究者和受試者提供知情同意過程的視頻連線和在線提問答疑服務，以確保受試者充分理解試驗的目的、程序和潛在風險。

3.智能招募服務供應商職責

合規獲取潛在受試者個人信息；提供與醫療機構的系統集成解決方案，以便在醫療機構的數據庫中進行初步的受試者篩選。

4.遠程監查服務供應商職責

保證遠程監查中的數據安全；提供安全、可靠的遠程監查平臺，以便研究者和監查人員能夠實時訪問和審核試驗數據。

5.DTP 服務供應商職責

提供安全、可靠、及時的藥物配送服務，確保受試者能夠按照臨床試驗的要求接收到藥物；提供符合法規要求的藥物儲存和管理服務，包括但不限于藥物的接收、存儲、分發和退還等；對于需要在特定溫度條件下運輸和儲存的藥物，應提供可靠的溫度控制和監控解決方案。

6.電子支付服務供應商職責

提供快速、準確的支付處理服務，確保受試者和其他相關方能夠及時接收到相應的補償；設計并實施有效的支付審核和驗證流程，以防止錯誤支付和欺詐活動。

7.eCOA 服務供應商職責

提供可靠、易用的eCOA 平臺，使受試者和研究人員能夠便捷、準確地記錄和提交臨床結局數據；實施合法有效的數據收集和處理流程，確保臨床結局數據的準確性和完整性。

8.呼叫中心服務供應商

提供全天候的電話支持服務，以便記錄和向研究者及時傳達受試者的問題和情況；提供緊急聯系服務，以便在必要時為受試者提供及時的支持和援助。

四、DCT 供應商合規評估措施

（一）評估目標

為落實《藥品注冊管理辦法》以及GCP、DCT 指導原則等有關要求，根據《網絡安全法》《數據安全法》《個人信息保護法》等法律法規要求以及安全監管需要，對DCT 供應商的數據安全管理、數據處理活動、數據安全技術和個人信息保護情況等遠程智能技術應用進行安全評估，及時發現存在的安全問題和風險隱患，督促DCT 供應商健全安全制度、改進安全措施、堵塞安全漏洞，能夠進一步提高DCT 供應商在臨床試驗活動中的質量管理能力。

（二）評估內容

基于DCT 供應商采用的DCT 系統涉及的數據處理活動，需圍繞經營業績、合規管理、系統穩定性和功能、網絡安全和信息安全等方面開展DCT 供應商評估。DCT 供應商評估的內容包括但不限于：DCT 供應商的企業信息、資質證照、歷史業績、過往監管核查等基本情況；DCT 供應商過去3年經營發展的合規情況（結合裁判文書、行政處罰決定文書）、供應商的內部質控體系和標準操作規程、供應商過往客戶的訪談評估、供應商的實際控制人及其關聯企業的信用水平以及是否存在違法違規或重大違約情況；可能影響國家安全、公共利益、臨床試驗開展或者個人、組織合法權益的數據安全問題和風險；患者及相關人員個人信息和臨床試驗數據采集、存儲、委托處理、向境外提供等處理活動中的數據安全問題和風險；DCT 供應商的項目綜合管理水平、后期運營維護水平、醫療信息系統開發合作經驗和對醫療行業政策的敏感度和執行力等。

（三）評估手段

開展DCT 供應商評估時，可以綜合采取下列手段進行評估：①文檔信息審閱。核查并審閱企業設立和變更登記檔案、各項資質證照、歷史合同資料、數據安全和個人信息保護管理制度、個人信息保護影響評估報告、網絡等級保護測評報告等。②相關人員訪談。核查企業內部的網絡安全規章制度和安全防護措施執行情況，評判相關人員的安全職責劃分是否周密合理。③信息安全核查。了解DCT 系統開發所具備的各項功能；專業檢測網絡環境、DCT 系統模塊和大數據平臺等相關系統和設備的安全策略、配置、防護措施情況。④網絡技術評價。采用技術工具、滲透測試等手段查看企業的數據資產情況、檢測防護措施的有效性。

（四）評估結果應用

1.風險分析與評價

基于盡職調查梳理出問題清單，分析可能存在的業務經營、數據安全、個人信息保護風險?；趯嶋H情況，對安全風險進行評價。風險評價主要考慮風險一旦發生可能對申辦者、醫療機構、其他組織或者個人的合法權益造成的影響，以及對風險發生的可能性進行綜合評價。

2.提出整改建議

結合實際情況，針對發現的安全問題或風險，提出管理、技術等方面的問題整改或風險處置建議。

（五）動態管理和評估

申辦者應持續跟蹤供應商的履約情況，并對其進行動態評價，應涵蓋風險整改情況、技術水平、服務質量、響應速度、合同執行、服務保障及運行績效等關鍵指標。評價結果不僅用于監控供應商的績效，也作為調整合作關系的依據?；谠u估結果，還應制定明確的退出機制，對于未能滿足合規要求的供應商，應采取嚴格措施，包括扣分、暫停合作、列入黑名單等，并且應當對這些措施進行公開透明的公示，以提升整個行業的合規性和透明度。這種動態管理機制有助于申辦者及時發現并糾正供應商的不足，確保臨床試驗質量，保護受試者安全，同時促進整個DCT 體系健康有序的發展。

五、探索建立DCT 供應商合規管理措施

（一）完善法律法規體系

目前，我國關于DCT 的規定分散于不同法律法規、規范性文件和技術指導原則中，尚缺乏統一集中的成文規定。DCT 元素中，目前藥物配送、中心化遠程監查成熟度相對較高；而移動醫療服務的成熟度相對較低，由于地區差異性較大，不能照搬經驗，對落地轉化的要求較高[9]。無論是對于申辦者履行對DCT 供應商質量管理的監督責任，還是對于藥品監管部門開展檢查執法活動，都可能面臨法律法規等適用片面不完整的難題。隨著全國DCT試點工作的不斷推進，建議相關部門應適時總結可推廣的DCT運行管理和監管模式，制定統一融合的DCT 實施指導技術原則，使得DCT 供應商監管有法可依，為構建DCT 模式生態體系確立清晰可執行的操作指南。

（二）強化政府監管

醫藥行業事關人民群眾的生命健康，行業生態建設離不開政府監管的“有形之手”。作為一個高度專業化的領域，藥物臨床試驗的各參與方必須執行相關法律法規以及GCP 等相關規定，所有活動均應納入政府的監管范疇中。對于管理理念，監管部門應發揮管理、服務及引導職能[10]。本文也探索性地提出幾點強化政府監管的建議。一是探索構建市場準入機制，設立DCT 供應商資質許可（經營范圍、特殊的行政許可）或是增設醫療遠程智能技術從業人員資格考試、醫療數據從業企業服務能力認證等。二是用好行政權力，開展動態經營監管，包括：①建立DCT 供應商招采信用評價機制。圍繞網絡安全、數據安全和個人信息保護建立失信行為清單；根據失信行為的性質、情節、時效、影響等因素，進行等級評價；合理利用等級評價結果，如行業通報、限制采購等；建立失信信用修復機制，如提交合規整改報告并接受合規檢查。②定期監督檢查。定期發布臨床試驗遠程智能技術應用中的監督檢查合規治理重點；制定年度監督檢查計劃，對不同DCT供應商的可靠性、可控性和安全性進行評測；對違法行為采取約談、督導整改、誡勉、通報批評、處分或提出給予處分的建議等監管手段。相關監管部門需要協調一致，共同對遠程臨床中的各環節進行質量把控，從嚴處罰損害受試者權益或危害臨床試驗數據安全的違法違規行為，及時解決新型臨床試驗模式可能面臨的新問題。

（三）行業自律合規管理

打鐵還需自身硬，DCT 供應商須先提高自身合規自律水平。一是遵守法律法規，重點關注《藥品管理法》《疫苗管理法》《藥品管理法實施條例》以及GCP 等有關規定，還有招標投標以及醫療機構招標采購相關制度，網絡安全、數據安全、個人信息保護等相關的法律法規。二是構建內部質量管理規范，建立數據安全管理、個人隱私保護、應急響應管理等方面管理制度；以提升可靠性、可控性和安全性為核心，構建各類標準操作規范；積極參加并通過境內外行業認證。三是嚴格履行合同義務，根據臨床試驗參與方職責，實現承諾的遠程智能技術功能。在約定的數據處理目的、方式、范圍內履行安全保護責任、保密約定等，遵守各方之間的數據安全責任；以及認真履行后期運維響應義務。四是嚴防網絡數據安全風險，包括收集的臨床試驗數據不得存在未授權、失效、不符合預期等問題；不得超出預定范圍公開患者的健康醫療數據，造成數據泄露等。

在推動構建DCT 供應商合規監管的過程中，作為對藥品監管部門有限的監管資源的補充，可以考慮引入專業第三方臨床合規管理機構，輔助申辦者對DCT供應商實施合規性評估和管理，確保DCT 事前、事中和事后“全流程”的規范性和科學性，從而促進整個行業的健康發展。同時，這也有助于申辦者和供應商更好地理解和落實合規要求，保護受試者的權益，促進多方協同工作，共同提升DCT 供應商的合規能力。

（四）探索建立DCT 供應商“白名單”制度

積極構建DCT 供應商“白名單”制度，通過確立優質的DCT供應商標準、鼓勵供應商積極提高自身實力躋身優質榜單、申辦者把好入門關并實施供應商動態管理、強化行業監管、推動構建行業自律、實施信用評價閉環管理等落地措施，形成“遠程智能技術優質供應商榜單”等可視化的“白名單”。

進入“白名單”的企業，有權積極參加DCT 等新型臨床試驗項目。對于有失信行為的留觀企業，應當重點做好失信行為認定和失信懲戒。對于退出“白名單”的企業，應當鼓勵信用修復，包括采取終止相關失信行為、處置失信責任人、提交合規整改報告并接受合規檢查、公開發布致歉聲明消除不良影響等。

筆者認為，還可以探索選擇有公信力的官方組織、社會團體、學術媒體等作為社會評級機構，例如《中國食品藥品監管》《中國衛生信息管理雜志》等。通過實施DCT 供應商“白名單”制度，推動構建以法律為準繩、以市場調節為導向的選拔和淘汰機制，實現DCT 模式生態體系中各方高效匹配、合作共贏、良性循環。

六、結語

供應商合規管理離不開政府監管、社會評價和自身建設。在監管層面，制定明確的政策框架，引導和規范DCT 供應商的行為，確保其符合行業標準和法規要求。社會評價方面，申辦者動態評估及專業合規管理對于供應商的質量管理至關重要，以形成一個全面的供應商評價和信用體系。就自身建設而言，供應商應加強內部合規管理，建立合規體系和操作流程，以確?？沙掷m滿足臨床試驗監管核查要求。