干货：关于数据完整性的思考

目 录

1.数据可靠性 根本目的

2.数据可靠性的定义

3. 数据定义

4. 数据可靠性的五个基本原则

5. 原始数据

6. 手写的或纸质的原始数据的要

7. 静态记录VS动态记录

8. 关于“数据完整性”的答疑

防止数据被不恰当的修改，删除或选择性相信或排除。

2. 数据可靠性的定义

所有数据在其生命周期中是完整的，一致的和准确的程度。

MHRA GMP 数据可靠性定义和行业指导原则

数据可靠性是指数据的完整性、一致性和准确性。完全、一致和准确的数据应该是具有归属性、清晰易读性、同步产生性、原始记录或者真实副本、和准确性（ALCOA)

FDA 数据可靠性及行业符合cGMP的指南

数据可靠性：指在数据生命周期内，数据完整、一致、准确的程度。（国际上，常用缩略词“ALCOA”或“ALCOA+”概括，即数据归属至人、清晰可溯、同步记录、原始一致、准确真实的程度） CFDA

这三段是定义，三家差不多，我国博采众长，要了解数据可靠性先要知道什么是数据。

3. 数据

数据是指：

信息或事实

可以存储和使用的一种形式的信息，特指计算机

由原始数据衍生或取得的信息

(例如报告的分析结果)

数据：指在GXP活动期间记录和产生的、可完整重现和评估GXP活动的所有原始记录及其真实副本，以及后续处理产生的信息。根据数据载体的不同，可分为纸质数据和电子数据。数据的来源包括人工观测记录的数据；仪器、设备或计算机化系统产生的数据；采用摄影、摄像技术获取的客观数据；由原始数据衍生或取得的信息等。

CFDA GDP 征求意见稿

数据是指对客观事件进行记录并可以鉴别的符号，是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它是可识别的、抽象的符号。它不仅指狭义上的数字，还可以是具有一定意义的文字、字母、数字符号的组合、图形、图像、视频、音频等…….。数据经过加工后就成为信息。

在计算机科学中，数据是指所有能输入到计算机并被计算机程序处理的符号的介质的总称，是用于输入电子计算机进行处理，具有一定意义的数字、字母、符号和模拟量等的通称。

在计算机系统中，数据以二进制信息单元0,1的形式表示。

百度百科

总结：

从定义上看 GxP法规定义的数据，就是加了一个范围就是为了GxP活动的目的。但是我们相关的支持行业却不仅仅是为了GxP行业。所以 这些支持的行业（设备，系统供应商）理解起来有点困难，现在社会数据无处不在，且电子形式的居多，我们现在的分享就是以电子记录的形式跟大家分享，在企业中大部分数据的初始状态都是以电子形式呈现的，只不过我们几千年的文明让人类习惯了纸质的或者 hardcopy形式的数据。目前其实纸质的我们叫文字、文献、著作、知识等，其实现在可以统称为数据。未来得数据者得天下，因为未来绝大部分数据都是电子形式。

A - Attributable to the person generating the data

可追溯至数据由谁生成 –归属性

L – legible and permanent

清晰并持久

C – contemporaneous

同步性

O – original (or true copy)

原始的（或正确的副本）

A – accurate

准确的

这些原则是谈数据完整性必讲的原则，目前还有 ALCOA+，其本质都一样，只是这些概念的延伸。

4.1. 归属性

在这里面对于纸质记录或数据归属性比较容易理解，简单的理解就是谁做的谁签字。但是对于电子的归属性的管理就比较模糊，原因是很多人不理解电子签名的形式，通常意义的电子签名除生物特征的电子签名（比如指纹）之外，通常应该有两个组件，一个是账号另一个是密码，这个账号在同一系统中必须是唯一对应到人的，操作人员，用账号登录，执行活动，在操作人员完成电子签名确认（输入账号和密码），系统将执行活动的记录和结果同这个账号关联绑定，并附加相关的元数据信息，比如时间戳，签名的意义等。这样完成了电子签名后，GxP的活动记录和结果就归属此账号所对应的人员，实现其归属性。如果该账号不能唯一对应到人，那么归属性就要打个问号，这也是为什么法规一直比较关注公用账号。

4.2. 清晰持久的属性

对于纸质记录也容易理解为不褪色、不可擦写等。对于电子的，更多讲的是数据的安全和人的可读性。

4.3. 同步性

同步也容易理解，法规通常讲要及时记录，宣讲就是做一步写一步，对于电子的数据呢，目前MHRA 也有一个指导，后面会讲就是计算机化系统的事 transaction。

4.4. 原始性

原始的属性这个问题最严重，很多人理解是不到位的。我们通常理解的原始记录或数据大部分是第一次记下来的（而且是手写的），这个有点过时了，根据定义，原始的是初始生成的形式，目前绝大部分的手写记录是从电子的抄写或誊写到纸上的，真正的手写原始记录不多了，我能想到的，比如比较原始的天平，用砝码的那种的称量、用移液管量筒的量取读数、用尺子测量的数据等，这些数据靠人观察数据，然后记录下来，这些数据是原始数据，其它的也不多了，大部分数据的初始存在形式，都是电子的，不管是设备上显示的，还是系统计算的，还是拍照，录音等，大部分都是电子形式的。也正是基于这一点，我才有开始的结论数据完整性都值得怀疑，目前我尚未见过那个公司能将所有的GXP原始数据管好的。

4.5. 准确性

这个对于手写的是个挑战，因为数据的关键性和不信任的原因，为了控制风险，法规对于一些关键的操作要求双人复核，但是这些要求比较笼统，可能没有涵盖所有的关键操作。关键的操作步骤没有双人复核的情况，一旦写错了就不会有第二个人看见，有的可以从逻辑上推，有的是推导不出来的。

对于自动化系统，准确性的可靠性大大提高，因为它可以实现连续的高频率，且仪器仪表经过校准后，数据对结果的反应更接近于事实。为了提高准确性，除了校准还可能需要验证，比如仪器方法，电子计算表格，数据处理方法等。

总结：

数据是任何一个现代企业的灵魂。制药行业由于我们产品的特殊性，有很多关键的业务步骤会影响患者的安全，因此对支持这些关键业务步骤的数据的要求也逐步被提到前所未有的高度。这些步骤包括但不限于：工艺保证，产品质量检测，产品放行，产品召回等。这段话是正面的表达，确实我们的行业很特殊跟我们的客户生命直接相关，也正因为这个很重要，所以我们要谈数据可靠性，中国制药行业因为数据不可靠，已经吃了很多苦头了，很多人的三观都毁了。数据造假不仅我们自己谴责，国外都看不下去了，人家也正想找点毛病整整咱们，所以我们有必要做正确的事。

5. 原始数据

原始的记录和文档，以原始生成的格式（即纸质或电子形式）或以“正确的副本”进行保留。 原始数据必须以能永久保存的形式同步并准确地记录。对于一些不能存储电子数据或仅有数据打印输出的简单电子设备 （例如天平或pH计），打印数据构成原始数据

这一段最后有个例外，就是天平或pH计可以用打印数据构成原始数据，重点强调构成两个字，这是没有办法的规定，因为行业水平就这样。但是如果天平或者 pH计连接了电脑，并且数据可以转移到电脑中，那么就另当别论了。所以不要简单的生搬硬套，因为一旦连接电脑数据从秤或pH计转移到电脑中，数据的形式是电子的，并且能转移到电脑，能存储，那么原始数据一定是电子形式，这些电子形式的记录就要受到适当的保护，很多时候不连电子秤的时候，数据直接打印，在这个过程中数据很难被人“编辑”，或者说是不恰当的修改或删除，还有选择性相信或排除，而且很多时候这种保护会被忽略，从系统的能力设计上被忽略了 就可能会出现被“编辑”的可能。因而产生数据可靠性的风险。

原始数据：指初次或源头采集的、未经处理的、能完整重现GXP活动的数据。

欧美比我们更早认识到更多系统的原始数据是电子形式存在的，他们才发现了很多“编辑”行为。 其实我们认识不比他们晚，只是没有上升到如何从系统上去规范这些行为这个高度。90年代注册数据造假，行业内40岁往上的人都知道怎么回事，我们缺的是监管规则理论系统化，近些年FDA发出了大量的关于数据可靠性的警告信。基本上都是原始数据的管理有重大缺陷（原始数据删除，不真实，选择性相信）。数据可靠性的重要性被提高到前所未有的高度。

虽然数据可靠性不是一个新的要求，但是随着技术的进步，这些不完整的数据越来越容易被发现，因而引来越来越多的监管部门的关注。这些年，监管部门把他们的期望描述的越来越清楚。 比如：很多电子数据为了能对数据进行后期操作而以动态格式（电子的）保留是很重要的。

当数据的真实完整或后期确认是非常关键时，必须以动态格式保留。这应该进行基于风险地判断。

从这段话可以看出MHRA从15版的指南提出了对于有些有动态记录的系统是不接受只用打印记录或静态记录去保存的。FDA的指南和中国的药品数据管理规范也有类似的要求。

如果是原始记录的完整拷贝，纸质打印记录或静态记录可满足保存要求（见211.68(b)，211.188，211.194和212.60）。例如，pH计和天平在数据采集时可能产生纸质打印记录或静态图片作为原始记录…（211.180）。

然而，某些类型的实验室仪器产生的电子记录是动态记录，而打印记录或静态记录无法以动态格式保存，但动态格式又是完整原始记录的一部分。例如，FT-IR（傅里叶变换红外光谱法）产生的光谱文件可进行后处理，但是静态记录或打印输出的记录是固定不变的，这就不能满足CGMP对于保存原始数据或真实副本的要求（(211.180(d))）。而且，如果没有显示全波段光谱，污染物的光谱可能会被排除在外。

FDA 数据完整性及其CGMP符合性行业指南。

将原始电子数据制作为电子的真实副本时，应保留原始记录的动态记录格式。

这段话里有一些定义，如果不熟悉的可能理解起来比较困难，比如动态、静态，后面我慢慢讲，为了理解上面的关于原始数据的理解先来看一个图：

图1

这是MHRA数据完整性指南 2015版 发布的，这个图很好的解释了为什么监管人员越来越关注电子的记录，因为目前我们这个行业越来越现代化了，基本上离不开自动化系统，从图里面看，随着系统的复杂程度提高，打印的报告基本不能体现所有的原始数据，这也就造成了只审核打印报告可能都是美好的，但是一看原始数据原来是这样整出来的，在比较复杂的仪器中我们往往存在着比报告的数据多得多的数据和报告，这些没有正式审核批准的报告如果没有合理的解释 将会被监管人员挑战，一旦发现不诚信的行为，基本就over了。目前的数据可靠性指南、法规、规范都是冲着这个去的，如果能解释那还不错，至少不会over。

下面用图谱跟大家互动，大家回答“是”“否”即可，下面的图谱包含了所有的原始数据吗？

图2图3

答案肯定是没有包含，因为我没办法知道图谱上的每一个坐标点的具体值是多少，尤其是在打印出来以后。

在这个认识的基础上我们再来谈数据可靠性就能好好谈了。下面我们来看WHO的声明：

遵从医疗产品规范要求的相关的企业几十年来一直使用验证过的计算机化系统，但许多企业未能充分审查和管理原始电子记录，相反往往仅审查和管理不完整的和/或不恰当的打印输出。

WHO GOOD DATA AND DOCUMENT MANAGEMENT PRACTICE

上面援引的MHRA,FDA,CFDA和WHO的指南/规范都期望把原始数据管好。这些要求看似寥寥数语，却影响深远并且细思极恐。

FDA举的例子是FT-IR,可现实中的例子可比比皆是：

先从实验室说，紫外分光光度计，水分测试呢？

再推广到生产过程，现在的设备可是越来越先进，可以自动生成批报告，搞个曲线啥的，原始数据管了吗？

再推广到供应商提供的服务，比如实验仪器的供应商的验证/校准服务，他们提供了纸质的报告，原始数据呢？

再推广到委托检验，委托实验室检测的报告的原始记录怎么管理的呢？双方怎么约定的呢？

这是个坑！美国人是第一个开始挖这个坑的！

FDA的检查官在2014年就开始在公开场合（之前一直在研究也发现了一些数据可靠性问题并给了警告性）宣称想看图谱背后的数据，并选派了一批检察员到仪器公司学习原理和研究，接下来这几年大家已经见识到了。

当然如果监管真想整改，国门内大有人才，因为早在90年代我们就明白这些招数。只是没有执法依据或者执法依据不充分，或者说有了执法依据但认识并不充分，所以差不多就完了，按照同样的的理论，我们也可以要求国外公司数据可靠，完全可以，只不过我们可能发现他们造假的现象比较少，因为他们的文化在那，没有多少人愿意或者 “勇于” 去做，但是不合规的情况肯定有，因为行业就是这个水平，仪器系统就那么几个公司，服务模式也就那么几种。

总结：原始数据的管理被提到一个很严肃的高度。尊重事实，保留原始的事实证据是基本的数据管理态度。药品行业关注患者的生命健康利益，药品企业时刻都面临着提供相应的证据证明自己产品质量可靠的压力。

我们的系统可以不合规，但千万不要造假，这个文化必须要建立，不管大家是老板或投资人，还是打工的，诚信是必须的，对于原始数据的管理大家可以阅读以下GMP章节内容：

第四条【诚信原则】执行本规范的机构和个人应当坚持诚实守信，倡导公开、透明的质量文化，禁止任何虚假、欺骗行为。

第二十二条【要求】原始数据的管理至少符合以下要求：

（一）原始数据应当经过审核；

（二）原始数据或真实副本应当按照规定的期限保存；

（三）原始数据在保存期内应当容易获得和读取。

第二十七条【数据的保留】应当建立归档规程确保原始数据或其真实副本在保存期内可获得，至少包括以下内容：

（一）纸质数据的归档应当确保安全便于查阅。

（二）电子数据的归档应当确保安全并可以重现。可以通过创建真实副本或从一个系统转移到其他系统的方式进行归档，其转移过程应当被确证并记录，应当以动态格式保存全部内容。

（三）电子数据应定期备份，其备份及恢复流程必须经过验证。发生灾难后，备份数据可完整恢复。

第二十五条【原始数据审核】应当建立规程确保原始数据经过审核和批准。电子数据的审核应当包括对电子元数据的审核。

（一）应当基于风险级别规定数据审核的方法和内容。

（二）应当规定审核的频率、职责、异常情况的处理及对元数据的审核方法等。

（三）审核人员应当理解所承担的职责，经过培训并具备相应的能力，培训内容与审核的风险级别相适应。

（四）如计算机化系统无法满足电子审核记录要求，使用纸质打印记录输出作为审核记录时，应当由第二人复核原始电子数据和相关元数据（如审计追踪）

CFDA征求意见稿

6.手写的或纸质的原始数据的要求

我们一直都在强调不得替他人写记录，但有些情况可以例外：

记录活动会对产品或活动产生风险，例如无菌操作人记录生产线的干扰活动

用于解决文化或员工书写/语言能力不足，例如由主管或办公室人员见证并记录另一操作员工的操作。

-MHRA GMP 数据可靠性定义和行业指导原则

6.1. 归属性

第十三条【可归属性】根据记录中的签名能够追溯至数据的创建者、修改人员及其他操作人员。

第十五条【特殊情况】在特殊情况下（如无菌操作），可由另一记录人员代替操作人员进行记录。应当建立相应规程明确代替记录的适用范围和操作方式，确保记录与操作同时进行，操作人员及记录人员应当及时对记录进行确认签字。

良好的表格和记录的设计，可以提高记录填写的归属性。（比如：中控记录遇到不同班次的人员执行记录的时候），这个格设计不好，真有可能识别不出来那些记录是谁写的，大家注意多观察，不是致命的，但是做好了总是好的。

6.2. 清晰并持久可追溯 :

填写记录使用不会褪色的墨水；书写规范的要求，确保记录清晰可读。比如：不得涂改；文件记录的保存和归档，以保证数据的持久性等。

第十六条【清晰】在规定的数据保存期限内，数据应当清晰、可读、易懂、可追溯，确保能够完整地重现数据产生的步骤和顺序。

CFDA 征求意见稿

对于电子我们前面提到了数据的安全可读性，这个很重要，很多电子的数据需要依赖介质，应用软件，硬件而存在，所以相关的流程（备份，恢复，归档），软件的测试等，需要的管理方法和纸质的记录形式不一样，我们需要有相应的测试，人员维护等一系列管理。

6.3. 原始的（或真实副本 true copy）

原始数据：初始的记录和文档，以初始生成的格式（即纸质或电子形式）或以“真实的副本”进行保留。原始数据必须以能永久保存的形式同步并准确地记录。对于一些不能存储电子数据或仅有数据打印输出的简单电子设备（例如天平或pH计），打印数据构成原始数据

MHRA GMP 数据性定义和行业指导原则

原始性还是强调大部分是电子的、电子的、电子的重要的事说三遍。

记录不得重新誊写（如果有，需要解释，并保留初始的记录），控制填写记录的空白记录或表格的发放（空白批记录，检验记录，日志）。文件的控制：文件归档保存的管理（文件安全：防虫防水防火防盗），已归档文件的借阅，发放的管理。

这里true copy翻译成了“真实副本” ，也译作正确的副本，这个地方需要解释一些，原始数据和其 true copy形式可能一样，也可能不一样，电子秤的原始数据本应该是电子的，但是因为通常因为系统自身不能存储，且关键的数据及其元数据可以被打印出来，所以规范认可其打印输出可以“构成”原始数据，这个打印的数据就是其 true copy，在之前的这张图里面也描述了不是所有的系统打印数据都能代表原始数据，因此 true copy 也要打个问号。如下图所示：

图1

这张图里谈的 true copy 更多的是从电子数据和纸质打印结果比较角度，其实关于true copy 我们一直在用，最简单的例子就是纸质SOP的批准原件是原始的，现场执行的是发放的复印件，这就是原始和 true copy的概念，当然并不是复印件都可以作为true copy，一定要有确认的过程，我想任何一个单位发放SOP的时候不会简单的复印、盖戳就发了，一定会有一定程度的检查，当然，如果检查了，这个复印件满足了true copy的要求，完成了盖戳仪式，这个true copy 也就可以成为基准记录（primary record）了，现实工作中我们经常这样做，只是有时候从概念上来说我们不知道谁对谁。

再举一个例子：我们做验证的时候有可能会把批记录和检验报告或记录附在验证文件中，但是通常不会附原件，因为原件要作为重要记录单独归档，通常的做法是复印，这些复印件我们会在上面签上名字，写上附件编号，主文件名称和编号，如果页码不完整的还需要重新编码，这些形式都是在完成一种仪式“让这些复印件合法化”，也就是确认他们是 true copy，然后让他们成为基准记录。成为了基准记录，在审计期间或者向监管部门递交的时候，这些记录就可以作为正式的文件了，同时，如果这些附件是完整的复印件，在原始文件丢失的时候，这些复印件还可以提供“法律意义”上的正式文件，还可以充当法律意义上的正式文件，这样写严谨一些，当然这种情况下企业是要有声明的。

对于电子的记录，原始记录就是初始生成的电子格式，true copy 可以是数据转换后的等值、等意义的记录，也可以是等同的复制记录，一旦确认了是true copy，经过保护或者管控，也可以作为基准记录。另外一种常见的true copy是在电子系统和纸质系统互相转换的时候，比如数据的迁移。这种迁移在纸质系统向电子系统转化是很常见的，因为我们需要把现有的纸质数据信息转到电子系统中作为运行的基础，这个转移过程就是确认新系统中的数据符合true copy，然后经过确认后，将其变成基准记录的过程。还有就是电子化系统升级，比如从1.0系统到 2.0系统有的时候不是简单的软件升版，而是重新建一个系统，这个时候也涉及到数据迁移，将1.0系统的数据转移至2.0的系统中，也有这个问题，就是要确认等值、等意义，然后合法化，当然最明显的是数据备份，也是最常见的。为了确保备份数据是true copy我们需要验证备份的方法，对于数据的恢复同样也需要验证恢复方法。

下面是相关的法规要求：

第二十三条【基准记录】应当有规程规定基准记录确定依据。相同信息有多份记录的，应当明确基准记录。

真实副本：指经过核实和确认已准确并完整地保留了原始记录全部内容和意义的数据的原始记录副本。对于电子数据来说，包括所有必要的元数据和适当的原始记录模板。

CFDA 征求意见稿

数据可以静态的（例如：象纸质或pdf格式的“固态”记录），或动态的（例如：用户/审阅者可以与之互动的电子记录）

原始记录和正确的副本必须维持记录的完整性（准确性、完全性、内容与含义）。与初始记录一致的复制件可以和初始记录放置在一起（例如纸质记录的扫描件），并建立文件记录体系来核对和记录复制记录的完整性。

当静态记录能保证原始数据的完整和真实时，由电子方式生成的原始数据采用纸质或PDF格式进行保留是可以接受的。但是数据保留流程必须体现以下各个内容：包括核对过的所有原始数据、元数据、相应审计追踪（系统日志）和结果文档，针对每一次分析测试运行的软件/系统配置，以及对一套给定原始数据进行复原所必须的所有数据处理运行过程（包括方法和审计追踪）。还需要一个书面的方式来确认打印记录是准确的再现。这种方法可能在实现记录符合GMP要求的管理上比较繁琐。

很多电子数据为了能对数据进行后期操作而以动态格式（电子的）保留是很重要的。当数据的真实完整或后期确认是非常关键时，必须以动态格式保留。这应该进行基于风险地判断。

计算机系统的配置参数设定应进行定义，测试，“锁定”并可以防止非授权进入，是计算机系统验证的一部分。只有那些关于一次分析操作的可变参数的设定才被认作是电子原始数据。

例1：一组静止的图像（照片- 静态的“纸质复印件”范例）对于记录同一事件，不能象动态的影像（录像-动态的“电子记录”范例）那样提供全部的内容和含义。

例 2：色谱图一旦打印或转换成静态的pdf 文件，就无法重复计算，以及进一步被详细查看基线或任何隐藏区域的功能。相比之下，同样的以数据库形式记录的动态电子记录提供了数据被追踪，追溯和查询的功能，允许审阅者（拥有适当的登录权限）进行重复计算，查看隐藏区域，以及扩展基线来更清晰地查看积分情况。

这里面动、静态的概念不太容易理解，记住一点就是静态记录的管理通常就是一旦产生就代表产生那一刻的事实，不允许被修改了，一旦修改或删除就改变了事实。动态数据因为可以修改通常需要审计追踪，这种理解不完全准确。为了容易帮助大家理解，最常见的将动态数据变为静态数据就是把其转化成PDF文档，一旦转化完成，PDF中的数据就无法和用户互动了它只反映转化的那一个时刻的状态，现实系统中动态数据的保存很关键，因为可以更好的追溯历史还原历史，这也是监管部门要求或期望保留电子数据的动态格式，对于实验室，比如紫外动态数据是仪器方法，静态数据是每一次的检验结果（通常是PDF报告），对于检验结果，一旦产生就不需要编辑了，否则就会改变事实。比如型号比较老旧的紫外分光光度计，其产生的分析报告可能会被轻易删除而不被发现，从而选择的选择性相信或排除。比较先进的管理方法是使用数据库型文件来管理这些记录。数据库文件比较容易实现权限的管理，这样可以降低单次报告被删除的风险。

用生活中的例子来解释可能大部分人比较容易理解，比如个人的工资卡，每个月的发的工资的具体数值应该是一个静态数据，因为一旦工资到账，这个月的工资数据基本不会再变化，这个数值就代表了这一次发的工资数额。不管是一年两年以后，你查询这个月的工资就是这个数值，不会再变化。但是工资卡余额是一个动态数据，每次工资卡的工资到账或者消费都会导致余额变化。如果在某一天你将工资卡余额的电子数据打印出来，或者以电子报告的形式导出。那么工资卡余额的数据就变成了一个静态数据。这个数据只能代表在你打印或导出的那一刻的工资卡余额。

动态记录格式：指使用动态格式实施的记录，通常是电子记录，可在用户和记录内容之间进行互动。如，电子液相色谱记录，允许经授权使用人员重新处理数据和通过放大基线更清楚地查看积分。

CFDA 征求意见稿

就本指南而言，静态是用来表示固定的数据文件，如纸质记录或者电子图像；动态表示记录形式允许用户与记录内容互动。例如，动态色谱记录可以允许用户更改基准线、重新处理色谱数据使峰值变小或变大。它也可以允许用户修改电子数据表中的公式或者输入值来计算检测结果或者其他信息如计算产量。

FDA 数据完整性及其CGMP符合性行业指南

静态数据通常很长时间不会发生变化，通常应设计防止删改措施。纸质记录（比如检验记录，纸质批记录）。控制纸质文件的编号，版本，页码，受控发放，安全归档。电子记录（比如温度湿度记录仪或某些分析仪器中产生的PDF文件，系统中的配方 recipe）。控制访问权限，避免利益相关人员删改。

动态数据 （比如分析方法，电子批记录中的数据库文件，分析仪器中的数据库文件），GxP动态数据修改需要有审计追踪。控制权限，只有有权限的人可以修改或删除。

电子数据的归档应当确保安全并可以重现。可以通过创建真实副本或从一个系统转移到其他系统的方式进行归档，其转移过程应当被确证并记录，应当以动态格式保存全部内容。(数据转录/转移)

8.电子原始数据的要求：

8.1.【归属性】

如果是人员操作的的记录，系统应该能识别相应的操作人员（比如个人帐号 ）根据记录中的签名能够追溯至数据的创建者、修改人员及其他操作人员。

电子签名与手写签名等效，并应当经过验证，不得使用个人手写签名的电子图片代替电子签名。

——CFDA GDP 征求意见稿

在电子记录上签署的电子签名和手签名应该链接到它们各自的电子记录以保证电子签名不能够被切割、复制或使用普通手段转到到一个假的电子记录上。

——CFR 21 Part 11

电子记录的归属性 和 手写记录的而归属性要求应该一致，只是体现形式不一样，通常是用电子签名来实现的。这里面 CFDA有一个要求，就是明确不得使用个人手写签名的电子图片代替电子签名。我之前有见过有的电子系统，只要你打开文档，系统就会把手写签名的电子图片显示在文档底部，证明你看了或者你认可了，感觉总是不爽！现在想想感觉这个系统挺可笑，其实是系统设计人不了解什么是电子签名以及如何实现。

8.2.【清晰并持久】

人可读的数据（Humanreadable），没有人知道…..01001010…代表了什么。

能够显示所有的数据结果（数据可能被遮盖，显示不完整）；

可追溯，确保能够完整地重现数据产生的步骤和顺序 ；

数据的保存安全，能用久保存（磁带，硬盘，U盘，光盘）。

对于清晰的电子数据一定是人可读的，乱码或者机器语言是不符合要求的。最简单的例子就是如果光盘被损坏了，无法读取或者出现马赛克，就是电子数据不清晰的一种表现，这也是数据没有安全保存的结果。

8.3. 【同步性】

所有为满足CGMP要求而生成的数据均为CGMP记录。在执行创建符合GCMP要求（包括但不限于§§211.100(b)和308211.160(a)）的记录时，你必须记录或保存这些数据。FDA期望企业能够设计出一套能防止要求创建和维护的质量数据被修改的程序。例如，色谱图应在运行完成后，而不是在一天的运行结束后，即被长期保存（归档或永久记录）。

——FDA 数据完整性及其CGMP符合性行业指南

数据产生时，应当依据相应的规程直接、及时的创建正式记录。确保在执行下一步操作前，数据不被篡改、删除或覆盖。

这个“同步性”对于计算机化系统来说很关键，因为大家都会有一种感觉，就是如果人在计算机化系统输入文字或数据的时候，是可以在保存之前进行修改或删除的。对于机器来说没有确认之前数据可能只在内存（缓存）中，是不会被保存到硬盘或数据中等永久介质中的，这也就产生了一个概念叫 事物，计算机化系统事物transaction。

提问：问数据的采集和保存：数据被采集后一定会被保存吗？

有的系统采集的数据不经过操作人员确认是无法保存下来的，这个确认可能是一个保存键，也可能是一个确认键，也可能是一次电子签名。总之是需要操作人员来确认后，数据才能保存下来。最简单的例子是，我们word文档编辑，如果编辑完毕，数据或信息已经在屏幕中显示（数据被采集），但是如果如果没有被保存，已经采集的信息就会丢失。

对于我们GxP活动中的计算机化系统有很多这种需要操作人员确认的步骤，一旦确认我们的活动或者系统的记录才能保存下来。并且对于一些关键的活动还必须经过确认以后才能进行下一步操作。

事物transactions：

在计算机术语中是指访问并可能更新数据库中各种数据项的一个程序执行单元。

——百度百科

计算机系统事务：

计算机系统的事务是一个单一操作或作为一个单一的有逻辑的“工作单元”的一系列操作。这些组成一个事务的操作（或一系列操作）在用户没有确认或系统强制保存之前是不会被保存到永久介质上的。

——MHRA GMP 数据可靠性定义和行业指导原则

对于关键步骤的计算机系统事物的举例，MHRA用备料过程的确认给大家做了解释。

同步性-设计举例 ：

关键投料工艺的设计 （操作人a成一种物料的投料后进行确认）

第一种，是关键操作，就是说一定在在ABC123完成投料后，操作人员确认并复核后才能进行下一步操作。这种设计在系统中很常见，通常表现形式就是这一步完不成，系统无法进行下一步。

第二种，是非关键操作，也就是说在扫描完ABC123,并投料，操作人员无需进行确认，可以继续完成DEF456,GHI789的物料的扫描活动，并且可以在完成三种物料的扫描和投料之后再进行确认。

8.4.【原始的（或真实副本）】

原始记录：数据最初始生成的文件或格式，它保留着记录的完整性（准确性，完整的，内容和含义）。例如，纸质的人工观测初始记录，或计算机系统的初始电子数据文件。

为了维护数据电子的原始性，一定要保护数据的安全：

物理安全：

存储数据区域的安全（机房），防水防火防盗

存储数据介质的安全，(磁带、磁盘)的保存

逻辑安全（逻辑隔离）

防火墙

身份识别

权限控制

局域网、公共网

电子数据的原始性的实现，主要是通过保护数据的安全来实现的。对于网络系统可能需要建立机房，用于服务器的存放，同时网络应该有防火墙。如果有关键的电子数据，这些数据的的安全管理很重要，企业一定不要忽视。因为一旦这些数据丢失对企业都是一笔不少的损失。如果关键数据彻底丢失（没有备份或无法恢复）可能会导致产品召回。因为产品质量无法实现追溯。

8.5. 【准确的】

准确性是数据质量的基本标准：

数据的产生

仪器仪表要校准

软件系统的配置管理(比如Excel 表格中数据的格式，修约，小数点的位数)

计算机化系统要经过确认

数据的处理

关键数据（实验室数据）计算，处理方法要有明确的规定

分析方法要经过验证

数据的审核

异常数据处理要有明确的规定

电子数据的管理同手写记录的管理要求本质是一样的，但是管理方式和手段不一样。主要是因为其存在形式发生的变化所以导致了管理方式和手段发生了相应的变化。

下面解释几个主要的电子记录管理相关的术语。

9.【权限管理AccessControl】

权限管理是计算机化系统管理的基本功能，其目的相对于对于纸质文档，相当于控制文件记录的获取权限。比如门锁钥匙的控制，或某些工具的控制，比如带有编号的或者不同颜色的记录纸的发放和使用。亦或是，在手工操作的时候，控制人员的上岗操作的权限，比如经培训或授权的人才能在相应的岗位上操作。

权限管理通常我们会要求三级权限，但这其实是不恰当的，因为对于复杂的系统，三级权限根本不够。因为业务复杂，可能会有很多种角色承担着不同的职责。这个时候需要根据人员在组织中承担的职责和角色去分配相应的权限。

权限管理的基本要求：

权限管理应避免利益冲突的原则

自己批准自己的记录或结果？

数据/记录修改的限制（不能修改或者修改后保留审计追踪或者修改前/后的数据需要经过第二个人批准）

数据的删除（利益相关的人不能随意删除数据，删改需要审计追踪或经过批准并记录）

控制系统时钟的修改权限

权限应该与岗位角色匹配，追溯到人

避免利益冲突很重要，尤其要管住管理员的权限，不能将管理员授予跟数据或业务活动直接利益相关的人。

对于数据的修改和删除的权限应通过适当的系统功能来限制或实现追溯，以实现数据完整

权限的获取应有培训

权限的分配应有记录

权限应定期审核确保与岗位职责匹配（调岗，离职）

没有培训就没有权限，这是权限管理的基本要求。没有进行培训就授予权限，对于系统自身的安全和数据安全都是风险。

下面是法规的一些要求和解释：

第三十四条【管理权限】业务流程负责人和用户的权限应当与其承担的职责相匹配，不得赋予其系统（包括操作系统、应用程序、数据库等）管理员权限

对记录事件时间的计时器进行权限控制； 用户权限控制以防止（或审计追踪）数据篡改； 员工进行数据核对时，对进入原始数据进行权限控制；

要充分利用设置访问权限级别来保证员工只能访问与他们的工作角色相适应的功能区。企业必须能证明给单个用户设置了访问权限级别，并保证可以获取用户访问权限的历史信息。

不应使用共享登录账号和密码或无权限级别区分的登入方式。当计算机系统的设计支持单个用户访问权限时，该功能必须被使用。这可能需要购买额外的许可证。不得将系统管理员权限（授权的操作，如数据删除、数据库修改或系统配置的修改）分配给数据（数据生成、数据审核或批准）的直接利益方。当由于组织结构原因不可避免时，可采用不同权限的双用户帐户来实现同等水平的控制。使用系统管理员权限进行的所有更改必须在质量体系中被监督和批准

你必须采取合适的控制手段保证只有经过授权的人员才能对计算机化主生产和检验记录（MPCR）、其他记录或计算机化记录的实验室数据输入进行修改（§ 211.68(b)）。FDA推荐你在可能的情况下采取技术手段（例如，限制改变设置或数据的许可）限制改变质量标准、工艺参数或生产/检验方法的能力。FDA建议把系统管理员的角色，包括任何承担修改文件和设置的权限，交给与记录内容无关的人员担任。为了协助进行权限控制，FDA推荐针对每个CGMP计算机系统都保持一个授权人员和他们的权限列表。

对于小型运营或工厂，例如正电子发射成像药物（PET）医用气体厂家，人员数量很少，这种独立的安全角色分配不能实施时，FDA建议改变控制策略。举例来说，在极少数情况下同一人员担任系统管理员并且负责记录的内容时，FDA建议由第二人审核设置和输入的内容。如果第二人审核无法实现，建议操作者本人再次检查自己的设置和数据输入。

权限的设定对于防止数据的不恰当修改删除有至关重要的作用。企业一定要管好。对于关键的数据的删改权限或关键系统的操作权限，企业应该像银行管理提款机一样去管理。

10.【元数据】

元数据是描述其它数据的特性，并提供背景信息和含义的数据。通常，元数据用于描述数据结构，数据要素，数据的内在关系和其它特征。它还允许数据可被追踪至产生数据的个体。

例如：数据 3.5

和元数据（下划线）给出了背景信息和含义，（斜体）

氯化钠批号1234， 3.5 mg. JSmith 01/07/14

元数据与初始记录密不可分，如果没有元数据，则该数据是无意义的。这句话的意思的跟 FDA对电子签名的要求是一致的。

“元数据”简单的来说，就是描述数据的数据。 它可以是产品名称，批号，单位，签名，日期，也可以是系统编号信息，序列号，版本号等等用来描述数据的意义的信息。

元数据与原始记录密不可分，也不能分开，一旦分开意义就可能发生改变或者完全失去意义。FDA的电子签名要求签名和记录永远不能分开也是这个目的，因为签名就是一种元数据。

在验证和确认活动中我们除了要确认“数据的准确性”还需要确认相关的元数据是否完整。比如：称量的打印条，我们需要确认打印条中重量值跟电子显示值一致，我们还需要确认相关的元数据信息，比如物料名称，批号，打印日期，操作人等等元数据。当然日常的操作活动这些检查也是必须的。

11. 【电子签名】

（十四）电子签名：是指电子数据中以电子形式表现的，用于识别签名人身份、签字时间，并表明签名人认可其中内容的数据。

(a)签署电子记录应包含能清晰显示如下所有与签名相关的信息：

用印刷体书写出签名者的名字

签名生效的日期和时间；和

和签名相关的含意（例如回顾、批准、职责、或原创作者）

(b)该条款已识别出在这一部分(a)(1),(a)(2),and(a)(3)节应服从于和电子记录同样的控制并且应该被包括人们易读的电子记录的形式(例如电子显示或打印输出)

使用至少二种截然不同的证明成分，例如帐号和密码。

每一电子签名应是唯一对应个体的并且不能被重复使用、或再分配给其他任何人。

当一个人在一个独立的持续受控的系统登录期间内签署了一系列的签名，签署的第一个签名将使用所有的电子签名组件。后续签署的签名应使用至少一种的电子签名的组件。该组件只能由个人签署，并且应设计成只能由个人来使用。

当一个人不在一个独立的持续受控的系统登录期间内签署一个或多个签名时，每一个被签署的签名应使用所有的电子签名组件。仅被他们真正的所有者使用；和管理和签署以确保任何除其真正所有者外的其他人尝试使用该电子签名时需要二个或更多的人的协作。

电子签名在当今的生活中几乎人人在用，只不过很多人不知道它是电子签名。我喜欢用银行取钱的例子来解释电子签名。

比如你拿着银行卡到银行ATM机取钱，把卡放到ATM机里，机器会识别是谁的卡，因为这张卡已经在银行有登记备案。当然如果没有登记备案，ATM会不认可能会退卡。如果重复插卡可能有被吞卡的风险。这个登记备案的银行卡就代表了操作人的身份。也就是未来实现签名的那个人的名字。一旦输入了正确的密码，签名过程也就完成。也就是电子签名的两个组件同时得到了确认，这个时候对于ATM机来说，它人为输入密码的人就是卡里备案的那个人。即使我们把银行卡及其密码给别人，让别人操作取钱，ATM机仍然会人为是本人操作。这其中的风险或问题是与密码管理相关的。系统并没有错。

对于电子签名的管理，企业最好能给每个人一个唯一的账号 （ID），这样管理起来比较方便。避免不同的系统使用不同的账号，但是却是同一个人。这样后期追溯不方便。有点像，银联的作用，每个人用身份证在任一银行备案，只要其和银联联网，跨行也可以实现取钱，又或是腾讯开放自己的平台，实现不同的网站可以使用QQ或微信登录。采用这种方式有助于企业的管理简单化。

12. 【审计追踪】

审计追踪：指一种元数据，包含创建、修改和删除等GXP记录相关信息。在纸质或电子记录中，审计追踪可以安全地记录一些数据的生命周期细节，如在记录中创建，补充，删除或变更信息，却不掩盖或覆盖原始记录。审计追踪有助于重现所记录的事件历史，包括某项行动“由谁做、做了什么、何时做和为什么这样做”。

GMP审计追踪是元数据，记录了可以再现该GMP活动的GMP关键信息（例如对于GMP相关数据的修改和删除）。

——MHRA

这个是中国和英国的定义，并且没有强调是纸质的还是电子的。电子记录的审计追踪其本质和手写记录的审计追踪要求是一样的。就是如果数据或记录有删改，应该记录谁做的，改之前是什么，改之后是什么，什么时间改的，为什么改的。这个要求纸质的记录一直有，只是如果记录是电子的形式，这些修改的备注信息（元数据）可能不会和修改后的数据同时显示出来，而是在另外的地方存储。导致大家可能看不到而误以为数据没有被修改过。因此法规部门要求审计追踪应该能被检索出来并能形成报告，以供审核追溯。

审计追踪是一种可靠的、由计算机生成的、有时间标识的电子记录，它能够重现电子记录产生、修改或者删除的整个事件过程。审计追踪是一份关于“谁、什么、何时和为什么”的记录的时序表。例如，HPLC的审计追踪包含用户名、试验的日期/时间、使用的积分参数和再处理的细节，如果可以，也包含再处理的理由解释。

电子审计追踪包含追踪数据产生、修改或者删除的信息（例如工艺参数和结果）的行为和追踪记录或者系统层面的行为（例如尝试进入系统或者重命名或者删除一个文件夹）。

—— FDA

从FDA的定义来看，FDA强调了是电子形式的。一点小区别，不影响日后的管理和理解。大家只需要知道不管是纸质的还是电子的，审计追踪的本质都一样。只是形式不一样。

对于纸质记录来说，如果纸质记录被修改（杠改）却没有在修改处发现任何备注信息（元数据，比如签名，日期重要的需要写明原因），在进行记录审核的时候是不能被接受的。

电子记录因为其显示的特性，通常只是显示修改后的结果，而修改过程的信息不在当前的显示页面中。因此监管部门增加了些审计追踪的审核的要求。

13. 【审计追踪审核 Audit Trial Review】

审计追踪的审核应该是日常数据审核/批准的流程的一部分，通常在产生数据的操作区域（例如实验室）进行审查。应具有有效的证据以确认相关审计追踪的审核已经实施。当设计一个用于审计追踪审核的系统时，应尽量把它限定在与GMP相关的范畴内（例如，与数据产生、处理、修改和删除等相关）。可以将审计追踪作为一个相关数据列表进行审核，或由一个经过验证的异常报告流程执行审核。为了确保持续符合数据管理政策与规程，QA在自检过程应该抽样审核相关审计追踪，原始数据和元数据。

FDA建议对捕捉关键数据变化的审计追踪应与相关记录一起在记录最终批准前进行审核。而定期进行审核的审计追踪应包括但不限于：制剂检验结果的变更历史、样品运行序列的变化、样品标识的变化和关键工艺参数的变化。

——FDA

支持高风险的GxP的业务流程的数据，通常是关键的数据。因为一旦这些流程出问题将会危害患者（导致患者死亡，住院，残废）。例如：无菌工艺保证的相关数据，产品检验数据，关键工艺参数，或其它会影响患者安全的数据。

要做审计追踪审核，关键要看数据被修改的可能性和数据的关键程度。不能修改的 显然审核频率可以要求低，能修改并且关键审核频率就高。

14. 【归档】

为了能重现过程或活动的目的，对完整的数据和相关元数据以最终格式进行长期,永久的保留。

归档方式的设计必须允许在整个要求的保留期限内能够进行数据和元数据的恢复和读

15. 【备份】

为了灾难性破坏后恢复数据的目的而复制一份现有的（可编辑得）数据，元数据和系统设置（与一次分析运行相关的可变参数设置）并维护备份和恢复的功能应进行验证

MHRA是最早提出这连个概念区别的监管机构，这两个概念的区别 关键是目的不一样。一个是为了重现过程或活动的目的，一个是为了灾备。很多时候备份的数据需要恢复后才能读取或利用，但是归档的数据，可能本身就是一个系统，可以直接读取。

16. 【Flat files 单层文件】

单层文件可能是没有携带任何相关元数据的一个单独记录(例如: pdf, dat, dot)

单层文件可能携带与文件创建和数据最后一次修改日期相关的基础元数据，但不能审计追踪历次修改的类型和顺序。当由电子数据创建单层文件报告时，生成原始数据的相关的元数据和审计追踪也会丢失，除非这些信息已被保存为“正确的副本”。

17. 【Relational database: 关系型数据库】

关系型数据库在不同的地方存放与数据和元数据相关的不同要素。每个单独记录的创建和恢复都通过收集数据和元数据来完成，以供审核。

“单层文件”和“关系型数据库”这两个概念主要是跟动静态数据相关的。

“单层文件” 是静态的数据，正如MHRA的解释，单层文件可能携带与文件创建和数据最后一次修改日期相关的基础元数据，但不能审计追踪历次修改的类型和顺序。

来源：知药学社 编辑整理：德斯特cGMP 版权及免责声明：本公众号所有文章除标明原创外，均来自网络。登载本文的目的为传播行业信息，内容仅供参考，如有侵权请联系德斯特删除。文章版权归原作者及原出处所有。本公众号拥有对此声明的最终解释权。

德斯特cGMP团队一直致力于国际GMP认证咨询；针对美国GMP认证, EU-GMP认证, PIC/S认证, WHO认证以及中国GMP认证，可为客户提供完整的GMP认证解决方案；同时，在产品注册和产品技术转移，以及新建项目的设计、验证服务可提供专业的咨询服务。