上篇回顾

《去中心化临床试验中的供应商合规管理》（上）深入剖析了建立健全DCT供应商合规管理生态体系的必要性，分析当前面临的主要问题，总结DCT供应商合规管理共性及特殊要求。在本篇中，我们将承接上篇，继续围绕DCT供应商合规管理，提出完善管理与评估的措施，并建议强化法律法规体系、政府监管和行业自律建设，以构建稳固的合规管理基础。

四、DCT供应商合规评估措施

（一）评估目标

为落实《药品注册管理办法》以及GCP、DCT指导原则等有关要求，根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求以及安全监管需要，对DCT供应商的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等远程智能技术应用进行安全评估，及时发现存在的安全问题和风险隐患，督促DCT供应商健全安全制度、改进安全措施、堵塞安全漏洞，能够进一步提高DCT供应商在临床试验活动中的质量管理能力。

（二）评估内容

基于DCT供应商采用的DCT系统涉及的数据处理活动，需围绕经营业绩、合规管理、系统稳定性和功能、网络安全和信息安全等方面开展DCT供应商评估。DCT供应商评估的内容包括但不限于：DCT供应商的企业信息、资质证照、历史业绩、过往监管核查等基本情况；DCT供应商过去3年经营发展的合规情况（结合裁判文书、行政处罚决定文书）、供应商的内部质控体系和标准操作规程、供应商过往客户的访谈评估、供应商的实际控制人及其关联企业的信用水平以及是否存在违法违规或重大违约情况；可能影响国家安全、公共利益、临床试验开展或者个人、组织合法权益的数据安全问题和风险；患者及相关人员个人信息和临床试验数据采集、存储、委托处理、向境外提供等处理活动中的数据安全问题和风险；DCT供应商的项目综合管理水平、后期运营维护水平、医疗信息系统开发合作经验和对医疗行业政策的敏感度和执行力等。

（三）评估手段

开展DCT供应商评估时，可以综合采取下列手段进行评估：①文档信息审阅。核查并审阅企业设立和变更登记档案、各项资质证照、历史合同资料、数据安全和个人信息保护管理制度、个人信息保护影响评估报告、网络等级保护测评报告等。②相关人员访谈。核查企业内部的网络安全规章制度和安全防护措施执行情况，评判相关人员的安全职责划分是否周密合理。③信息安全核查。了解DCT系统开发所具备的各项功能；专业检测网络环境、DCT系统模块和大数据平台等相关系统和设备的安全策略、配置、防护措施情况。④网络技术评价。采用技术工具、渗透测试等手段查看企业的数据资产情况、检测防护措施的有效性。

（四）评估结果应用

1. 风险分析与评价

基于尽职调查梳理出问题清单，分析可能存在的业务经营、数据安全、个人信息保护风险。基于实际情况，对安全风险进行评价。风险评价主要考虑风险一旦发生可能对申办者、医疗机构、其他组织或者个人的合法权益造成的影响，以及对风险发生的可能性进行综合评价。

2. 提出整改建议

结合实际情况，针对发现的安全问题或风险，提出管理、技术等方面的问题整改或风险处置建议。

（五）动态管理和评估

申办者应持续跟踪供应商的履约情况，并对其进行动态评价，应涵盖风险整改情况、技术水平、服务质量、响应速度、合同执行、服务保障及运行绩效等关键指标。评价结果不仅用于监控供应商的绩效，也作为调整合作关系的依据。基于评估结果，还应制定明确的退出机制，对于未能满足合规要求的供应商，应采取严格措施，包括扣分、暂停合作、列入黑名单等，并且应当对这些措施进行公开透明的公示，以提升整个行业的合规性和透明度。这种动态管理机制有助于申办者及时发现并纠正供应商的不足，确保临床试验质量，保护受试者安全，同时促进整个DCT体系健康有序的发展。

五、探索建立DCT供应商合规管理措施

（一）完善法律法规体系

目前，我国关于DCT的规定分散于不同法律法规、规范性文件和技术指导原则中，尚缺乏统一集中的成文规定。DCT元素中，目前药物配送、中心化远程监查成熟度相对较高；而移动医疗服务的成熟度相对较低，由于地区差异性较大，不能照搬经验，对落地转化的要求较高[9]。无论是对于申办者履行对DCT供应商质量管理的监督责任，还是对于药品监管部门开展检查执法活动，都可能面临法律法规等适用片面不完整的难题。随着全国DCT试点工作的不断推进，建议相关部门应适时总结可推广的DCT运行管理和监管模式，制定统一融合的DCT实施指导技术原则，使得DCT供应商监管有法可依，为构建DCT模式生态体系确立清晰可执行的操作指南。

（二）强化政府监管

医药行业事关人民群众的生命健康，行业生态建设离不开政府监管的“有形之手"。作为一个高度专业化的领域，药物临床试验的各参与方必须执行相关法律法规以及GCP等相关规定，所有活动均应纳入政府的监管范畴中。对于管理理念，监管部门应发挥管理、服务及引导职能[10]。本文也探索性地提出几点强化政府监管的建议。一是探索构建市场准入机制，设立DCT供应商资质许可（经营范围、特殊的行政许可）或是增设医疗远程智能技术从业人员资格考试、医疗数据从业企业服务能力认证等。二是用好行政权力，开展动态经营监管，包括：①建立DCT供应商招采信用评价机制。围绕网络安全、数据安全和个人信息保护建立失信行为清单；根据失信行为的性质、情节、时效、影响等因素，进行等级评价；合理利用等级评价结果，如行业通报、限制采购等；建立失信信用修复机制，如提交合规整改报告并接受合规检查。②定期监督检查。定期发布临床试验远程智能技术应用中的监督检查合规治理重点；制定年度监督检查计划，对不同DCT供应商的可靠性、可控性和安全性进行评测；对违法行为采取约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议等监管手段。相关监管部门需要协调一致，共同对远程临床中的各环节进行质量把控，从严处罚损害受试者权益或危害临床试验数据安全的违法违规行为，及时解决新型临床试验模式可能面临的新问题。

（三）行业自律合规管理

打铁还需自身硬，DCT供应商须先提高自身合规自律水平。一是遵守法律法规，重点关注《药品管理法》《疫苗管理法》《药品管理法实施条例》以及GCP等有关规定，还有招标投标以及医疗机构招标采购相关制度，网络安全、数据安全、个人信息保护等相关的法律法规。二是构建内部质量管理规范，建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度；以提升可靠性、可控性和安全性为核心，构建各类标准操作规范；积极参加并通过境内外行业认证。三是严格履行合同义务，根据临床试验参与方职责，实现承诺的远程智能技术功能。在约定的数据处理目的、方式、范围内履行安全保护责任、保密约定等，遵守各方之间的数据安全责任；以及认真履行后期运维响应义务。四是严防网络数据安全风险，包括收集的临床试验数据不得存在未授权、失效、不符合预期等问题；不得超出预定范围公开患者的健康医疗数据，造成数据泄露等。

在推动构建DCT供应商合规监管的过程中，作为对药品监管部门有限的监管资源的补充，可以考虑引入专业第三方临床合规管理机构，辅助申办者对DCT供应商实施合规性评估和管理，确保DCT事前、事中和事后“全流程"的规范性和科学性，从而促进整个行业的健康发展。同时，这也有助于申办者和供应商更好地理解和落实合规要求，保护受试者的权益，促进多方协同工作，共同提升DCT供应商的合规能力。

（四）探索建立DCT供应商“白名单"制度

积极构建DCT供应商“白名单"制度，通过确立优质的DCT供应商标准、鼓励供应商积极提高自身实力跻身优质榜单、申办者把好入门关并实施供应商动态管理、强化行业监管、推动构建行业自律、实施信用评价闭环管理等落地措施，形成“远程智能技术优质供应商榜单"等可视化的“白名单"。

进入“白名单"的企业，有权积极参加DCT等新型临床试验项目。对于有失信行为的留观企业，应当重点做好失信行为认定和失信惩戒。对于退出“白名单"的企业，应当鼓励信用修复，包括采取终止相关失信行为、处置失信责任人、提交合规整改报告并接受合规检查、公开发布致歉声明消除不良影响等。

笔者认为，还可以探索选择有公信力的官方组织、社会团体、学术媒体等作为社会评级机构，例如《中国食品药品监管》《中国卫生信息管理杂志》等。通过实施DCT供应商“白名单"制度，推动构建以法律为准绳、以市场调节为导向的选拔和淘汰机制，实现DCT模式生态体系中各方高效匹配、合作共赢、良性循环。

六、结语

供应商合规管理离不开政府监管、社会评价和自身建设。在监管层面，制定明确的政策框架，引导和规范DCT供应商的行为，确保其符合行业标准和法规要求。社会评价方面，申办者动态评估及专业合规管理对于供应商的质量管理至关重要，以形成一个全面的供应商评价和信用体系。就自身建设而言，供应商应加强内部合规管理，建立合规体系和操作流程，以确保可持续满足临床试验监管核查要求。

[参考文献] 

[9] 陈一飞,董文彬,孙搏,等.去中心化药物临床试验实施模式和合规关注点讨论[J].中国新药与临床杂志,2023,42(8):507-513.

[10] 佟梁慧,张帆,孙潭霖,等.中国临床试验数据监管改革的分析与思考[J].世界临床药物,2023,44(8):882-890.