摘  要Abstract

在数字化临床试验中实施基于风险的质量管理（RBQM）势在必行。随着去中心化临床试验的兴起，远程智能技术、可穿戴设备和人工智能算法的应用带来了数据真实性和隐私安全的新风险，《个人信息保护法》《数据安全法》等法规对传统的隐私保护也提出了更高要求。本文对合规风险评估是数字化临床试验RBQM 的重要组成部分的观点进行了深入分析。合规风险评估，有助于识别和控制关键风险，确保临床试验的质量和受试者的安全，其风险评估过程主要包括识别风险点、量化分析风险程度、制定风险控制措施以及持续迭代优化。通过合规风险评估，可以优化研究机构临床试验流程，构建全面的质量管理体系，保护受试者权益，并确保数据的真实性、完整性和可追溯性，还可以提高研究者参与度、提升数据质量和增强供应商药物临床试验质量管理规范（GCP）合规认知。此外，还介绍了药品生产质量管理规范（GMP）、药品经营质量管理规范（GSP）中风险评估和个人信息保护领域个人信息保护影响评估对临床试验合规风险评估的借鉴价值，并阐释了合规风险评估对推动我国临床试验质量管理体系构建以及与国际标准接轨的积极作用。

Implementing risk-based quality management (RBQM) in decentralized clinical trials (DCT) is crucial. The advent of DCT, leveraging remote intelligent technologies, wearable devices, and artificial intelligence algorithms, has introduced new challenges regarding data authenticity and privacy security. Recent regulations, such as the Personal Information Protection Law and the Data Security Law, have heightened requirements for privacy protection. This article analyzes in depth how regulatory compliance assessment forms an integral part of RBQM in DCTs, aiding in identifying and controlling key risks to ensure trial quality and subject safety. The assessment process encompasses risk identification, quantification, control measure formulation, and continuous iteration and optimization. Through regulatory compliance assessment, research institutions can streamline their processes, establish comprehensive quality management systems, safeguard subject rights, and ensure data authenticity, integrity, and traceability. This approach can also enhance researcher engagement, improve data quality, and reinforce Good Clinical Practice (GCP) compliance awareness among vendors. Furthermore, this article explores the insights gained from risk assessments in Good Manufacturing Practice (GMP), Good Supply Practice (GSP), and Privacy Impact Assessment (PIA) systems in personal information protection to regulatory compliance assessment in clinical trials. It also elucidates the positive role of regulatory compliance assessment in aligning China's clinical trial quality management systems with international standards.

关键词 Key words

临床试验；合规；风险评估；质量管理

clinical trials; regulatory compliance; risk assessment; quality assurance

《药物临床试验质量管理规范》（Good Clinical Practice，GCP） 要求申办者采用基于风险的质量管理（risk-based quality management，RBQM）体系。以去中心化临床试验（decentralized clinical trials，DCT）为代表的数字化临床试验引入了诸多新技术和新流程，日新月异的法律法规环境，为传统的风险管理模式提出了新的挑战，亟需进行系统的合规风险评估。一方面，数字化临床试验广泛应用远程智能技术、可穿戴设备和人工智能算法等新兴技术手段，在提高试验效率、改善患者体验的同时，也带来了数据真实性、隐私安全等方面的新风险。另一方面，随着《个人信息保护法》《数据安全法》等相关法律法规的出台，传统的知情同意、去标识化等做法已难以完全满足最新的隐私合规要求。数字化临床试验涉及敏感健康数据的采集、传输和存储，隐私合规风险不容忽视。在研究机构内部，信息中心等技术部门需深入参与，以打通技术壁垒，协同运作。在研究机构外部，数字化临床试验涉及远程访视、电子知情同意、呼叫中心供应商、物流公司、上门护理团队等众多机构加入试验流程，亟需厘清彼此边界，以保证临床试验的合规要求。通过系统开展合规风险评估，可以实现以下目标：①全面识别临床试验各环节的风险点，筑牢风险防线；②借助评估契机，优化研究机构流程，以适应数字化临床试验的需要；③促使申办者、研究机构、供应商等构建全面质量管理体系。合规风险评估是为了最大限度地保护受试者权益，确保试验数据真实、完整、可溯源，并践行GCP 的根本宗旨。

1、 合规风险评估是RBQM 的重要内涵

GCP 第三十一条规定，申办者应当识别影响到临床试验关键环节的风险，并在试验方案制定时明确保护受试者权益和安全以及保证临床试验结果可靠的关键环节。这一要求正是RBQM 的核心所在。作为RBQM 的重要抓手，合规风险评估是识别和控制关键风险的有力工具。

1.1 法规依据

“ 相关法律法规” 的表述在GCP 中多次出现，这为理解GCP 合规风险评估的范畴提供了重要线索。根据GCP 第九条的规定，临床试验的质量管理体系应当覆盖临床试验的全过程，包括遵守相关法律法规。第十一条在定义临床试验的依从性、监查、稽查等概念时，也都强调要符合相关法律法规的要求。第三十二条要求申办者制定、实施和及时更新有关临床试验质量保证和质量控制系统的标准操作规程，以确保遵守相关法律法规。第五十三条要求申办者保证临床试验的依从性，发现不遵守相关法律法规的情况时应当立即采取措施予以纠正。由此可见，GCP 中“相关法律法规”的描述，其涵盖范围十分广泛，不仅局限于GCP条款本身。上可至《药品管理法》等上位法中关于临床试验的原则性规定，下可至伦理审查指导原则、参与方内部质量管理文件等，涉及临床试验各个环节、各个层面的法律法规要求。既包括隐私保护和数据合规领域的《个人信息保护法》《数据安全法》等，也涵盖了人体器官移植、人类遗传资源管理等特定领域的监管规定。

因此，做好合规风险评估，必须以宏观视角全面梳理适用的法律法规等要求，确保落实到临床试验全过程、全要素、全参与方，不留死角。唯有如此，方能切实维护受试者权益，保证数据真实、完整、可溯源，实现临床试验的高质量、可持续发展。

1.2 保障受试者权益与安全

受试者是临床试验的核心，其权益和安全是GCP 的根本宗旨。在数字化临床试验中，受试者可能面临更多风险，包括个人信息泄露、隐私数据被非法利用、可穿戴设备使用不当导致健康受损等。如果临床试验设计时对这些风险缺乏必要的防范措施，一旦风险变成现实，后果不堪设想。

例如，在使用远程可穿戴设备采集生理数据的试验中，需要评估和防控设备数据传输的安全漏洞、构建患者隐私保护机制、设置数据异常预警等，一旦发生数据泄露、误报、黑客攻击等事件时，上述机制和措施可以保护受试者的权益与安全。

因此，保障受试者权益是合规风险评估的首要目标。申办者要在临床试验设计阶段就应充分识别各环节可能影响受试者的风险因素，并制定行之有效的防范方案。同时，还须加强受试者的知情权，充分告知可能存在的风险，畅通投诉和维权渠道，将“以患者为中心”的理念落到实处。

1.3 提高研究者参与数字化临床试验积极性

GCP 明确要求，研究者必须严格遵照经伦理委员会批准的方案开展试验，不得擅自偏离。数字化临床试验对研究者提出了更高的要求，研究者不仅要掌握传统临床试验流程，还需要熟练运用各种新系统和设备。如果临床试验方案设计时没有开展充分的合规风险评估，未能将数字化工具的操作规程、应急预案、禁忌情形等关键要素落实到临床试验方案中，在实际操作中研究者可能会遇到困难，无所适从。这不仅会影响试验进度和质量，还可能导致研究者简化或者改变试验流程，埋下合规隐患，损害受试者权益。正是由于存在这些顾虑，部分研究者对于参与数字化临床试验持谨慎态度。

由于我国尚未有专项法规指导DCT 的开展，且申办者顾虑监管部门对于DCT 数据的接受程度，以及临床试验机构考虑到数据安全、个人隐私等各方面的问题，导致我国DCT 试验的开展相对较少[1]。合规风险评估是解决上述问题的有效途径。通过开展全面的合规风险评估，申办者可以充分考虑试验各环节的实操需求，优化完善方案设计，并提供详尽的实施指引。这些指引将成为研究者开展工作的标准和准绳，有助于规范操作流程、提高依从性、降低试验偏离风险，从而促进研究者积极参与数字化临床试验。与此同时，合规风险评估过程中识别出的问题也为强化研究者培训提供了重要线索。申办者可以据此开展有针对性的培训，帮助研究者全面掌握数字化临床试验的实施要点，提升其开展试验的信心和能力。

1.4 提升申办者数据质量

申办者应从关键环节和数据的确认、风险识别、风险评估、风险控制等方面实施RBQM[2]。合规风险评估能够促进申办者建立全面的质量管理体系，覆盖数字化临床试验全流程，并涵盖所有参与方。为有效识别和控制风险，申办者可以通过系统梳理临床试验的数据流和业务流，将新模式新技术纳入质量管理，尤其是重点关注数据采集、传输、存储、分析等关键环节，确保每一步都严格遵守ALCOA+ 原则， 以实现体系的高度规范数字化临床试验活动，真正夯实数据质量。

1.5 增强数字化供应商的GCP 合规认知

数字化临床试验较为依赖第三方技术平台、物流服务、上门护理等外部供应商。供应商能否严格遵从GCP，直接关系到试验质量和受试者权益。然而，部分供应商的管理流程与GCP 要求存在差距，可能会导致供应商在参与试验过程中出现违反规定的情况，给申办者和临床试验带来合规风险。合规风险评估为改善该问题提供了契机。申办者在对供应商开展合规风险评估时，应系统梳理供应商在资质、人员、流程等方面与GCP 要求的差异点，详细分析这些差异可能导致的合规风险，并提出整改意见。通过合规风险评估，供应商可以对照GCP 逐条审视自身存在的问题，并有针对性地完善制度、健全流程、强化培训，全面提升合规水平。

合规风险评估不仅能帮助供应商发现问题，更能引导供应商举一反三，建立常态化的GCP自查和培训机制；设立专门的质量合规部门，制定GCP 自查表，规范自查流程，明确自查频次；将GCP 纳入员工入职和在职培训必修内容，定期组织GCP 考试，检验培训成果等。

2、 合规风险评估流程

2.1 开展合规风险识别

风险是始终存在的，是不能消除的，只有识别、评估每一环节的风险、制定应对措施并监控其实施，才能保证将药物临床试验的整体风险降到最低[3]。风险识别的目的是找出数字化临床试验各环节可能出现的合规风险点，具体应重点关注以下几方面。

（1） 数字化工具和系统的合规性， 包括远程访视平台、ePRO/eCOA 系统、eConsent系统等是否符合法律法规对数据完整性、患者隐私等方面的要求；是否通过了必要的验证；系统供应商是否具备相应资质；是否定期开展安全测试和灾备演练。

（2）第三方服务提供方的资质与能力，除系统供应商外，数字化临床试验还涉及直达患者（direct to patient，DTP）物流商、第三方实验室、上门护理等众多供应商，需要考查这些供应商是否具备相应资质，其质量管理体系是否健全；工作人员是否经过专门培训，是否具备完善的紧急处理措施。

（3）研究人员的数字化临床试验实施能力，包括研究人员是否熟悉数字化临床试验流程、使用的软硬件系统；能否规范开展知情同意、样本采集、数据录入等操作；能否有效管理供应商，及时发现和解决问题。例如，在进行临床试验数据采集与管理时，问题可能会出现在外部数据确保可溯源方面，包括电子数据采集系统（EDC）录入的生命体征信息、合并用药信息无法溯源等[4]。

（4）受试者保护相关风险点，包括但不限于：使用eConsent系统时，提交伦理审查的资料是否全面，系统安全性、身份验证机制是否完善；远程访视能否全面评估患者病情，紧急情况下能否及时就医；DTP 给药运输是否存在质量偏差，能否确保药物质量和患者安全；患者隐私数据能否得到有效保护，采集是否遵循最小必要原则，是否履行了脱敏等防护措施；针对老年人、未成年人等特殊群体，知情同意能否做到通俗易懂，是否提供辅助说明；对患者进行试验操作培训是否充分，沟通渠道是否通畅，能否有效提高依从性；患者报告结局数据能否得到及时核实，杜绝篡改。

（5）外包研究责任落实，研究者将检测等职责委托第三方时，资质审核、过程管理、应急处置是否合规有效，研究者是否恪尽监督和管理责任。

识别风险点除了申办者内部自查，还可以广泛吸收外部专家意见。聘请有丰富数字化临床试验经验的主要研究者、合同研究组织、临床试验现场管理组织、法律合规顾问等，多角度审阅临床试验方案，挖掘潜在风险隐患。

2.2 实施合规风险评估

风险评估作为临床试验风险管理中的重要环节，能够使整个临床试验处于受控状态，及时解决出现的问题[5]。具体而言，合规风险评估要对识别出的风险点进行逐一量化分析，通常从3 个维度判断风险程度：①在现有控制措施下，该风险导致差错的可能性有多大，是偶发还是高发。②一旦风险成为现实，对受试者权益和安全、数据可靠性等会产生多大影响，影响是否会发展到严重并难以弥补的程度。③风险发生后被及时发现的概率有多大，是否已建立有效的监测手段。

合规风险评估过程中可使用头脑风暴法、德尔菲法、专家评分法等，对每个风险的发生概率和影响程度进行横纵向对比打分，最终判定其风险等级（高风险、中风险、低风险）。

需要强调的是，合规风险评估不能仅停留在定性描述层面，还应给出严谨的定量分析。定量分析才能真正体现风险的相对严重程度，为资源配置和管控措施制定提供科学依据。如果缺乏定量分析，合规风险评估可能会流于形式，无法切实指导后续行动。

2.3 根据ICH E6（R3）风险相称性原则制定合规风险控制措施

ICH 《E6（R3）: 药物临床试验质量管理规范》提出的风险相称性（risk proportionate）要求各方在试验设计和实施过程中全面评估和管理药物的安全性、疗效、研究质量和法规遵从性等风险。由此可见，需要根据合规风险评估结果，重点针对中、高风险点，制定有针对性的防范和应对措施，将风险发生的可能性和影响降到最低。笔者认为控制措施可从以下几方面着手。

（1）优化试验设计。应谨慎审核DCT 设计方案，多方参与，使其符合数字化临床试验的开展需求[6]。探索由有丰富经验的跨领域团队（临床、数据管理、法律法规、质量管理、药物警戒等领域）参与设计符合数字化特点的临床试验方案，并纳入必要的合规考量，包括知情同意的优化、远程访视的标准、紧急情况处置流程等。

（2）设立数字化临床试验风险评估和控制的专项预算。为确保有效实施风险管理，应建立贯穿临床试验全流程的质量管理和风险监测机制。设立专项预算用于支持风险评估工具和系统的采购、专业人员的配备和培训、数据安全和隐私保护措施的实施、应急响应准备、定期审核和评估的开展、技术支持和维护，以及合规性监测等关键活动。通过专项预算的设立，可以克服以往项目中由于资金限制而无法充分开展风险评估和控制的问题，实现对整个试验过程的持续监控和优化。这种投入将转化为更高质量的试验数据、更好的患者保护以及更高效的试验流程，从而整体提升临床试验的质量和可靠性。

（3）强化培训教育。针对研究人员、受试者等开展数字化临床试验专项培训，提高其对新流程、新系统、新要求的认知和掌握程度，避免因不熟悉操作而引发的合规风险。培训教育可采取线上线下相结合的多元化形式，确保全员参与，并应对培训效果进行考核评估。

（4）完善应急预案。对可能出现的各种风险情形（数据泄露、系统故障、质量事件等）预先制定处置预案，明确启动条件、决策机制、处理流程、善后措施等关键要素。定期组织应急演练，并检验预案可操作性。例如，各服务商在确保自身专业能力的前提下，应充分结合临床试验实践经验，为系统、网络、设备等的突发故障制定完善的应急预案，发生问题后应有专人及时跟进、解决和报告相关进展[7]。

（5）持续迭代优化。合规风险评估不是一蹴而就的，应在临床试验实施全过程中持续开展。还需根据收集的阶段性客观证据，评判防控措施的有效性，必要时及时完善更新，做到与时俱进、持续改进。

（6）出具风险评估报告。合规风险评估完成后，应形成规范的合规风险评估报告，详细阐述风险点识别过程、定性定量评估结果、防控措施设计等，确保逻辑清晰、结论可靠、可操作、可追溯。风险评估报告应提交伦理委员会审查，并作为临床试验必备文件存档。

在临床试验方案中还应重点体现数字化临床试验的合规风险防控措施，包括受试者隐私保护机制、远程访视标准流程、供应商管理规程、数据质控办法、应急预案等，以指导后续试验各环节规范开展。

综上，数字化临床试验合规风险评估应成为临床试验方案设计阶段的必备环节。数字化临床试验中涉及临床试验、医疗实践的双重合规要求，虽然执行方式与传统临床试验不同，但是合规要求均应满足[8]。只有通过系统的风险评估，扎实做好事前防控，才能让技术创新与合规要求同频共振，让数字化手段更好地保障受试者权益，提高临床试验质量，提升监管效能。

3、 合规风险评估制度借鉴

风险评估虽然是GCP 的要求，但其思路和方法并非临床试验领域所独有。事实上，在药品生产、流通、数据保护等诸多领域，风险评估都是质量管理和合规管理的重要抓手。这些领域在风险评估实践中积累了丰富经验，形成了一系列行之有效的制度规范和管理工具。数字化临床试验要做好合规风险评估，可以从这些领域的成熟做法中汲取养分，博采众长。

（1）GMP 中的风险评估制度。我国药品生产质量管理规范检查在监督药品企业合规性生产和保障药品质量安全方面一直发挥着重要作用[9]。根据《药品生产质量管理规范》（Good Manufacturing Practice of Medical Products，GMP）的相关规定，药品生产企业应当建立药品质量风险管理体系，运用科学、合理的方法识别、分析和评估药品质量风险，制定并实施相应的风险控制措施。核心内容包括：①风险识别，即系统梳理原辅料采购、生产工艺、设备设施、检验放行等各环节可能存在的质量风险点。②风险分析，即从发生概率、危害程度等维度对识别出的风险进行全面分析。③风险评估，即基于风险识别和风险分析结果，运用定性或定量的方法，科学评判风险的可接受程度，确定风险控制的优先序。④风险控制，即根据风险评估结果，采取切实有效的控制措施，例如优化生产工艺、强化过程监测、完善偏差处理等，将质量风险控制在可接受范围内。⑤风险沟通，即在风险评估和风险控制的各个阶段，加强内外部的信息交流和共享，确保风险管控措施的有效落实。⑥风险回顾，即在产品生命周期内定期回顾风险评估和控制情况，持续改进风险管理水平。GMP 中的风险评估制度体现了预防为主、过程控制、持续改进的质量管理理念，对于指导药品生产企业主动识别和控制质量风险，保障药品安全性、有效性和质量稳定性具有重要意义。

（2）GSP 中的风险评估制度。《药品经营质量管理规范》（Good Supply Practice，GSP） 要求在药品经营质量管理中专门建立风险评估制度。核心内容包括：①风险识别，即全面梳理药品经营各个环节可能存在的质量风险，覆盖药品采购、储存、销售、运输等全过程。②风险分析，即对识别出的风险进行分析，考虑风险发生的可能性、危害程度以及检测难易程度等因素。③风险评估，即在风险识别和风险分析的基础上，科学评估药品质量风险，确定风险等级（高风险、中风险、低风险）。④风险控制，即根据风险评估结果，制定相应的风险控制措施和规程，对较高风险要采取断然措施直至消除风险。⑤风险沟通，即建立风险沟通制度，发现质量风险及时采取风险沟通措施，说明问题严重性及可能的后果。⑥风险审核，即定期对风险控制措施进行审核和评估，并根据持续改进原则，不断完善风险管理工作。风险评估贯穿于风险管理的各个环节，是识别和量化质量风险的关键步骤，其既可以为行为规范的实施奠定基础，也可以为行为规范的实施指明方向[10]。

（3） 个人信息保护领域的PIA 评估。个人信息保护影响（privacy impact assessment，PIA）评估是一项行之有效的前置风险防控机制， 欧盟《通用数据保护条例》（General Data Protection Regulation）、我国《个人信息保护法》等法律法规均要求开展。PIA 评估的核心理念在于，数据处理者应当在开展相关活动之前，评估所涉及的数据处理可能对个人信息主体权益产生的不利影响。这种“预防为主”的思路，与临床试验领域“质量源于设计（quality by design）”的理念高度契合。

通过学习和借鉴GMP、GSP 和个人信息保护领域的风险评估经验和先进理念，数字化临床试验的合规风险评估将更加规范、全面、精准、高效，为临床试验高质量开展保驾护航。

4、 合规风险评估助力MRCT 高效开展和GCP 修订

ICH《E6（R3）：药物临床试验质量管理规范》明确要求，申办者应在整个临床试验过程中系统的应用质量管理方法，并基于风险对临床试验的所有阶段进行质量管理。国际多中心临床试验（multi-regional clinical trial，MRCT）的兴起更是对合规风险评估提出了更高要求，面对不同国家和地区的法律法规差异，申办者必须审慎评估潜在的合规风险，在临床试验设计之初就制定周全的风险应对预案，确保MRCT 在全球范围内高效、合规地开展。

将合规风险评估引入临床试验，既是顺应国际趋势的必然选择，也是进一步完善GCP 流程、提升GCP 执行力的关键举措。系统开展合规风险评估所积累的经验和教训，能够为GCP 的持续修订完善提供宝贵建议，助力我国临床试验质量管理体系与国际标准加快接轨，为医药企业和临床机构参与全球创新合作提供有力保障。