留存即证据 药企亟需构筑可信数据管理体系

在医药行业，数据留存不仅是技术需求，更是满足全球药品监管法规（GxP）的核心合规义务。药企需建立覆盖全数据类型、全生命周期、全流程可追溯的留存体系。药企在数据留存方面的合规管理需遵循多维度要求，涵盖数据保护、备份、保存期限、权限管理、可追溯性及安全措施等。

1. 数据保护与备份

物理与电子保护：数据需通过物理或电子方式防止意外或未经授权的修改，确保其完整性和真实性。例如，电子数据需通过审计追踪或元数据字段记录修改痕迹，防止篡改。

定期备份：企业应建立安全备份机制，确保灾难恢复能力。备份数据需存放在独立的安全地点，且恢复流程需经过验证。例如，西藏自治区规范要求每日备份数据并存储于安全场所。

备份验证：备份数据的可读性和恢复能力需定期测试，确保在灾难发生时能快速恢复。

2. 数据保存期限

法定最低期限：多数法规要求数据保存至少5年，特殊药品（如疫苗、特殊管理药品）需按相关规定延长保存时间。例如，《药品经营质量管理规范》明确记录及凭证保存期限不少于5年。

长期保存要求：部分法规强调对关键数据（如确认和验证记录、稳定性考察数据）需长期保存，甚至永久保存。例如，药品注册时需提供长期保存的原始数据。

数据类别 留存期限 存储方式
核心GxP数据 药品有效期+10年 本地+异地灾备
患者隐私数据 研究结束+15年 脱敏后存储
商业运营数据 7年（税法要求） 冷存储归档
系统日志 6个月（等保三级要求） 实时监控平台
注：数据销毁需通过物理粉碎（硬盘消磁）或逻辑擦除，并留存销毁证明。

3. 权限管理与可追溯性

权限分级控制：系统需根据用户角色动态分配权限，确保仅授权人员可操作数据（如记录、修改）。例如，研发数据需通过SOP限制权限，防止内部人员篡改。

审计追踪与元数据：电子数据需同步记录操作痕迹（如审计追踪），并保留元数据以证明数据完整性。例如，ICH E6指南要求临床试验数据需建立稽查轨迹和质疑流程。

基准记录定义：当多系统同步记录时，需明确基准记录的属性（如生成系统、时间戳），确保数据一致性。

4. 数据存储与归档

原始数据留存：原始数据或其真实副本需在保存期内可获得，且需通过动态格式保存全部内容。例如，纸质记录需明确归档方式、存放地点及管理人员。

归档规程：企业需建立归档规程，确保数据在生命周期内可追溯。例如，MES系统需制定数据录入、审核、存档和备份流程。

5. 安全与合规性要求

数据加密与匿名化：敏感数据（如商业机密、个人隐私）需采取加密、匿名化等措施，防止泄露。

技术合规性：采用区块链等技术可增强数据不可篡改性，满足监管对数据完整性的要求。

监管审计：企业需定期检查数据可及性，确保符合GMP/GSP等规范。例如，CFDI检查发现34%的缺陷项涉及电子数据存储问题。

6. 特殊场景与行业实践

临床试验数据：需确保病历原始性，避免篡改。例如，NMPA曾因篡改原始病历驳回药品申请。

数字化营销：线上推广活动需留存证据链（如时间、地点、照片、视频），形成合规交付报告。

跨境数据管理：涉及数据出境时，需取得源数据提供者书面同意，并建立合规存储制度。

7. 法规与标准对照

GMP/GSP要求：药品生产、经营数据需符合ALCOA原则（可溯源、清晰、同步、原始、准确），并满足《药品生产质量管理规范》的ALCOA+标准。

个人信息保护：根据《个人信息保护法》，个人信息处理活动需保存评估报告三年，建立档案管理制度。

法规体系 核心要求 典型数据示例
中国GMP 批记录、检验数据保存至药品有效期后1年，且不少于3年 生产工艺参数、QC检验报告
EU GDPR 临床试验数据匿名化存储，患者知情同意书保存至试验结束后15年 受试者筛查记录、知情同意书扫描件
《药品记录与数据管理规范》 原始数据需“真实、准确、完整、可追溯”，备份频率≤24小时 稳定性研究数据、供应商审计报告

药企需通过制度化管理（如SOP、权限分级）、技术手段（审计追踪、加密）和持续监控（定期备份、审计）确保数据留存合规。同时，需关注不同法规（GMP、GSP、GDP）及行业特殊要求（如临床试验、数字化营销），以应对监管审查和风险控制。需建立“数据留存即证据” 的管理理念，通过技术手段将合规成本转化为数据资产价值，为药品全生命周期构筑可信数字基石。

END