临床试验数据远程监查和稽查应用系统的构建

Abstract

探索临床试验数据远程监查和稽查模式的可行性，提出具体的技术方案和系统功能，并对实现的场景进行构想。采用自主研发的临床试验信息管理平台，基本实现对临床试验全流程管理和全量数据采集。以该管理平台为数据基础，建立临床试验远程数据监查和稽查应用系统功能架构，通过对数据脱敏、数据加密等操作，以项目和受试者全息视图的模式进行可视化，方便对数据的审查。远程数据监查和稽查云平台采用浏览器和服务器（B/S）架构模式，用户通过云平台注册模块申请账号，并以超文本传输安全协议（HTTPS）访问，在线查看授权的相关审查项目，保证安全数据传输和操作便捷性。在遵守法律法规的前提下，应用信息技术手段实现远程监查和稽查，确保数据安全和个人隐私。数据的全电子化管理是未来努力和改进的方向。

临床试验是新药/医疗器械研发的重要环节，是由医院临床试验机构、医院伦理委员会、科室研究者、临床研究协调员、监查员和申办方等多方共同参与的多任务、多角色和多流程的复杂科研活动。临床试验的监查和稽查是保障临床试验质量的重要手段。我国《药物临床试验质量管理规范》中明确规定，申办者应当建立临床试验的质量管理体系。申办者应当建立系统的、有优先顺序的、基于风险评估的方法，对临床试验实施监查。申办者为评估临床试验的实施和对法律法规的依从性，可以在常规监查之外开展稽查 ^{[ 1]} 。监查指监督临床试验的进展，并保证临床试验按照试验方案、标准操作规程和相关法律法规要求实施、记录和报告的行动。稽查指对临床试验相关活动和文件进行系统的、独立的检查，以评估确定临床试验相关活动的实施、试验数据的记录、分析和报告是否符合试验方案、标准操作规程和相关法律法规的要求。监查员是由申办方派出，其监查的主要内容包括研究者对试验方案的执行情况，确认所有数据的记录与报告正确且完整，所有病例报告表填写正确并与原始资料一致等。稽查员由申办者选定独立于临床试验的人员担任有效履行稽查职责。在重大突发公共卫生事件发生时，如何继续开展临床试验并保证监查和稽查工作能够顺利进行，成为临床试验从业人员的一个新课题，远程监查和稽查因此被提上议事日程。

远程监查的理念源于2011年末，美国食品药品监督管理局(FDA)推出关于临床试验监查新的指导原则草案；2013年8月，FDA正式颁布了该指导原则 ^{[ 2]} ，目的是为了帮助临床试验的申办方开展基于风险的监查，宗旨是让申办方在临床试验监查过程中能够对真正影响临床试验质量的关键问题重点突出地进行监查，从而提高临床试验的整体质量和效率，并进一步保障受试者的安全。美国FDA鼓励更多地进行中心化监查(centralized monitoring)，即监查员在办公室利用相关信息工具进行监查工作，而不必到研究机构(医院)，中心化监查替代现场监查(on-site monitoring)是临床试验监查的发展趋势。浙江大学医学院附属第一医院药物临床试验机构和信息中心在2019冠状病毒病疫情期间积极探索这种远程监查/稽查模式的可行性。本文对浙江大学医学院附属第一医院信息中心和临床药学研究中心构建的临床试验数据远程监查和稽查应用系统的具体技术方案和系统功能实现进行阐述，对实现的场景进行构思，并对远程监查/稽查可能存在的问题进行探讨。

1 系统设计

系统以医院已有的临床试验信息管理平台(Clinical Trial Management System，CTMS)为数据基础，结合云计算平台的安全体系架构，构建了临床试验远程数据监查和稽查云平台。CTMS的整体架构、远程数据监查和稽查云平台的安全网络架构及功能架构设计如下。

1.1 临床试验信息管理平台的整体架构

本中心在2014年开始自主研发CTMS，平台以临床数据交换标准协会(Clinical Data Interchange Standards Consortium，CDISC)标准指导数据模型设计，以标准操作规程为指导思想贯穿始终以保障系统整体的有效性和规范性。目前信息平台包含临床试验机构管理系统、伦理审查系统、受试者管理系统、中心药房系统、财务管理系统和质量管理系统六大子系统，基本实现了临床试验由项目层级到受试者层级一体化的全数据周期管理。

1.1.1 临床试验项目层级数据管理

由临床试验机构管理系统和伦理审查系统基于多角色协作统一有机构成。临床试验机构管理系统以医院临床试验机构办公室为核心管理部门，通过项目审查流程严格审核申办方在线申报的项目内容和上传的材料附件，完整流程包括项目填报、项目负责人审核、承担科室科主任审核、机构办公室审核、合同签署、项目启动会等，并且各节点结合用户权限管理，系统将自动为各节点分配合适的处理人员。伦理审查系统是以临床研究伦理委员会为核心管理部门，基于任务驱动并结合工作流技术实现审查的流程化管理，伦理审查流程包括伦理审查申请、形式审查、分配主审、主审审查、会议审查、获取伦理批件或意见通知函等阶段，通过多位主审审查和会议审查等阶段严格审查临床试验方案内容和知情同意书内容，严格把控伦理审查品质。

1.1.2 临床试验受试者层级数据管理

研究项目构建及权限分配可适应临床试验的差异化和多样化，更好地实现受试者试验过程一体化管理。主要内容包括①受试者招募前准备：药品入库中心药房、项目参与人员及权限分配、研究方案电子化形成受试者研究路径(包括研究阶段、研究内容、院内检验/检查对照等)、纳入和排除标准设定、各类编号规则定义(筛选号、入选号等)、电子病例报告表(electronic case report form, eCRF)表单设计等；②受试者招募：受试者招募及试验进度统计(可直观查看相应项目下各阶段受试者的分布)、受试者列表、受试者状态标注及可视化、受试者访视计划、受试者阶段待办、受试者实时数据统计等；③受试者访视管理：受试者试验全过程管理将严格按照受试者研究路径进行，在相应阶段自动生成待办事项，包括受试者知情同意、纳入和排除标准判断、随机分组、试验处方开立及药物闭环管理、检验检查等诊疗项目开立、eCRF填报、受试者全周期数据查询等。

临床试验受试者层级数据管理系统与医院信息管理系统(hospital information system，HIS)、实验室信息管理系统(laboratory information system，LIS)、医学影像存档与通信系统(picture archiving and communication systems，PACS)、放射信息管理系统(radiology information system，RIS)、电子病历等高度融合，实现应用层独立而数据层互联，以支持受试者全周期数据查询，包括患者所有的门急诊诊疗记录及处方详情、住院信息、检验信息、检查信息、护理信息、历史试验医嘱及试验药品发放、回收记录等。

1.2 临床试验远程数据监查和稽查云平台架构

远程数据监查和稽查云平台架构设计是以CTMS为数据基础，通过构建安全的网络系统架构来充分保障基于互联网模式下用户访问的数据安全，再在系统功能架构层面通过数据治理以安全、可控方式从项目和受试者两个维度构建全息视图进行可视化展示。

1.2.1 云平台的安全网络架构

网络系统架构采用云计算平台与医院数据中心相结合的方式，医院数据中心通过CTMS提供数据服务能力，云计算平台依靠成熟的云上全栈安全能力，可弹性并持续地对外提供应用的安全访问能力，通过云专线高速安全互联，以数据安全为首要前提实现用户便捷访问。云平台的安全网络架构示意图见 图 1。

图1.

临床试验远程数据监查和稽查云平台安全网络系统架构图

审查和稽查用户通过浏览器以超文本传输安全协议(HTTPS)进行加密安全访问，远程监查和稽查信息平台部署在云专有网络虚拟私有云(virtual private cloud，VPC)中通过Web应用防火墙对外提供服务，应用系统通过多路负载的云专线从医院数据中心获取相应数据，在医院数据中心和云专有网络VPC边界均部署防火墙安全设备，严格控制业务访问安全互认和端口开放。

1.2.2 云平台的功能架构

CTMS已实现对临床试验全流程管理和全量数据采集，全量数据包括项目管理和受试者管理过程中生成的数据，以及在此过程中同步采集的受试者门急诊诊疗记录、处方医嘱、检查检验报告、住院病历文书、手术麻醉、护理记录、不良事件等数据。临床试验远程数据监查和稽查应用系统功能架构建立在CTMS基础上，通过对数据脱敏、数据加密等操作，以项目全息视图和受试者全息视图的模式进行可视化，方便对数据的审查，其构架图见 图 2。

图2.

临床试验远程数据监查和稽查云平台系统功能架构图

LIS：实验室信息管理系统；HIS：医院信息管理系统；RIS：放射信息管理系统；PACS：医学影像存档与通信系统.

2 系统应用

远程数据监查和稽查云平台采用浏览器和服务器(B/S)架构模式，用户通过浏览器以HTTPS安全协议访问，保证安全数据传输和操作便捷性。

2.1 云平台登录账号申请及审核环节

监查或稽查用户通过云平台注册模块申请远程监查或稽查企业账户，填写企业营业执照、企业法人等相关信息，通过手机应用程序拍摄企业营业执照原件、委托函等资料并上传，以拍照自动上传取代照片选择上传，严格把控上传资料的真实性和有效性。在企业账号审核及项目授权环节，机构办公室进行严格账户申请审查和电话复核，审核过程中系统推荐与申请企业信息相匹配的合同项目，方便项目授权和权限控制。

2.2 云平台动态网址访问及登录账号验证环节

用户通过企业账户审核后，云平台将自动发送已设定有效期限的动态访问网址至申请用户。用户可基于浏览器通过动态访问网址并输入企业账户及手机验证码登录平台，登录验证成功即可在线查看授权的相关审查项目，平台将实时记录用户行为轨迹数据，监控异常行为用户并进行对应的安全管控。

2.3 云平台安全数据内容访问环节

数据内容上通过隐私保护承诺、监查用户与稽查用户相区分、数据安全存储及访问、远程访问时效性控制、数据外泄可追溯等一系列方式来充分保障安全性访问。数据内容包含以CTMS为数据基础构建的项目和受试者两个维度全息视图，实现全方位、一体化的可视化操作。项目全息视图以合同编号为关联，基于项目维度呈现审查内容，涵盖项目申报内容详情、资质等签名附件材料、研究者简历、研究方案审查记录、知情同意书审查记录、合同扫描件和财务管理、伦理审查内容及会议记录、伦理批件等。通过项目全息视图沿受试者维度数据钻取可快速实现受试者层级的访问，试验项目筛选的受试者以列表形式展示，单个受试者的审查全数据集以全息视图展示，通过项目合同号及筛选号为关联，数据内容涵盖受试者研究阶段与内容可视化、试验药物闭环管理、门急诊诊疗记录及处方记录、检验检查报告单、住院记录及病历资料、手术记录、护理记录、不良事件等。通过数据治理技术实现监查和稽查可按需进行数据脱敏及加密。同时，支持按时间轴、全局搜索等多方式进行层级获取。

3 讨论

临床试验监查离不开医院的临床试验机构、信息中心、研究者、临床研究协调员、数据管理人员等各方面良好配合。远程监查可以提高临床研究的质量和监查的效率，减少临床研究的成本。但只有一系列电子化临床试验产品包括CTMS、电子数据采集系统、电子病历系统、临床数据管理系统等在国内得以广泛应用，真正的远程监查才有可能。目前国内已经出现不少临床信息化管理系统，但能够真正与临床研究中心的信息系统做好对接，将申办方、数据管理部门等各方团队统一到一个平台协同合作的系统并不多见。本中心CTMS是基于分布式服务架构完全自主研发的，与HIS、LIS、电子病历、RIS、PACS等系统高度融合，达到应用层独立而数据层互联，实现临床试验一体化全流程管理。而基于互联网的远程数据监查和稽查云平台可在院内已成熟运行的CTMS基础上进行建设，通过数据治理实现数据重构，从项目和受试者两个维度构建全息视图一体化展示，严格执行数据安全和受试者隐私保护原则，融入平台建设全过程。系统管理员可以根据临床试验不同的人员创建不同的角色，为用户灵活分配系统功能权限。监察员、第三方稽查和药监主管部门都可以基于此开展临床试验数据的原始数据核对。

对隐私信息的保护，是比系统构建更重要的考量。远程监查/稽查最大的问题是有可能会造成受试者信息的暴露，这是一个严重的伦理问题。而如何能够从法律、法规层面解决潜在的风险，以目前的信息技术水平我们相信要实现临床试验远程数据监查和稽查并不是难题。因此在远程数据监查和稽查云平台设计之初，我们就特别重视网络数据安全和隐私保护的理念，开展隐私影响评估，将隐私保护的举措融入整个平台建设过程之中。①隐私保护承诺：监查及稽查用户开通远程账户需在线签署隐私保护协议，保证信息调阅者承诺对获取信息实施隐私保护。②监查用户与稽查用户相区分：系统采用细粒度权限管理，监查用户调阅信息将严格执行数据脱敏，受试者身份信息完全剔除，识别以筛选号/入组号索引；稽查用户身份审核将更为严格，且需要签署不同的受试者隐私保护承诺书，开放稽查所需受试者全部信息，将不做受试者身份遮蔽。③数据存储及安全访问：受试者身份信息等隐私数据通过联合区块链技术和非对称加密技术方法安全存储，有效防止篡改；系统应用部署于云计算平台，云安全中心赋予云上全栈安全能力，包括WEB应用防火墙、HTTPS加密传输、主机安全防护、数据库/日志审计、堡垒机等，并完成等级保护三级备案测评。④远程访问时效性控制：机构办公室授权访问并设定有效期限，访问网址动态生成，有效期限截止网址自动失效。⑤数据外泄可追溯：系统可视化数据均设置只读，屏蔽复制等操作，并通过背景图层添加水印等方式，在出现数据泄露时可通过照片及访问日志等综合分析泄露源。正是由于原始数据匿名化和原始数据经由电子系统可能产生的个人隐私保护及数据泄露风险等问题的存在，欧美国家对于远程监查的态度也相当谨慎，目前仍然在探索阶段，尚未取得实质性突破。

此外，在远程监查过程中，除了能够访问医院信息系统里经过脱敏处理的源数据，申办方和合同研究组织还希望对原始记录进行核对。这里的原始记录通常指研究者对数据的判断，这部分内容往往是研究者以纸质形式记录在相应检查单中，无法远程通过信息系统的溯源进行核对或确认，但这部分内容是监查需要获取的重要数据。这种情况下，申办方通常会要求研究中心将相关文件扫描发送给监察员进行远程监查，而这种做法无疑给研究中心带来了非常大的压力，不仅增加了研究中心额外工作量，还增加了数据和受试者隐私泄漏的风险。美国FDA在2016年发布了关于电子知情同意问答 ^{[ 3]} (Use of Electronic Informed Consent Questions and Answers)的指南中指出，应用电子知情同意可能是一项更好的替代方案。电子知情同意书是需要有数字安全证书的条件下，进行数字认证完成确认的。在这方面我们也需要探索更好的解决方案。

对于医院临床试验机构来说，还需要建立起远程监查的标准操作程序，尤其是监查和稽查计划前的风险评估，包括对于风险的定义、分类以及评级等，风险评估完成符合要求的远程监查才能够获准进行。监查和稽查的内容和范围在事先计划中需要明确，由研究中心临床试验机构进本次监查和稽查权限开通。实地监查和稽查由监查员和稽查员制订计划与主要研究者团队联系具体事宜并告知临床试验机构。无论何种监查方式，在监查和稽查结束后的报告中需要体现远程与实地不同的内容描述。

信息时代，万物互联，远程监查和稽查是一个趋势，在互联网技术高度发达的今天，技术上的难题已经不存在，我们需要思考解决数据安全和个人隐私问题以及建立远程监查和稽查的具体流程以提高临床研究的执行效率。同时，远程监查和稽查还要确保满足中国临床试验质量管理规范及国际协调理事会(ICH)关于临床试验的管理规范(GCP) ^{[ 4]} 的要求，保证符合伦理及法律法规的条款。作为有担当的临床试验业内人士，我们愿意与同行一道努力走出中国的临床试验远程监查和稽查探索之路。

Funding Statement

十三五国家科技重大专项新药创制项目（2020ZX09201-003）；浙江省科技厅重点研发计划应急攻关项目（2020C03123-7）；省科技厅重点研发计划应急攻关项目（2020C03123-8）；浙江省医药卫生科技计划（2018PY009）