21 CFR 第 11 部分合规性：实际要求是什么

要点总结

• 21 CFR 第 11 部分的合规性来自于系统周围的控制措施（验证、访问控制和审计跟踪），而不是技术本身。没有任何产品是“天生”符合规定的。
• 这条规则可以简化为一个想法：记录中的每个操作都有一个名称、时间戳和一个原因，即使没有纸质文件也是如此。
• 第 11 部分并非 HIPAA。HIPAA 规范健康数据的隐私和安全，而第 11 部分规范受 FDA 监管的记录和签名的完整性和可追溯性。公司可以满足其中一项要求，而无需满足另一项。
• 第 11 部分自 1997 年起生效，至今仍是制药、生物技术、医疗器械和临床机构的核心要求。

‍

21 CFR 第 11 部分合规性并非任何单一技术的固有属性。它是一套控制措施，用于证明电子记录的可信度：经过验证的系统、访问控制以及将每项操作与指定人员、时间戳和原因关联起来的审计跟踪。美国食品药品监督管理局 (FDA) 不负责认证产品是否符合第 11 部分的要求。使用系统的组织负责其安全保障措施，因此两家公司可以运行相同的软件，但只有一家符合要求。

‍

21 CFR 第 11 部分是什么？

《美国联邦法规》第21篇第11部分（21 CFR Part 11）是美国食品药品监督管理局（FDA）制定的法规，规定了在FDA监管的行业（例如制药、生物技术、医疗器械和临床研究）中，电子记录和电子签名的管理方式。电子记录是指以电子形式创建、修改、维护、存档、检索或传输的任何数据，而电子签名则是手写签名的电子版本。其目标很简单：使电子记录和电子签名与纸质和墨水一样可靠且可追溯。该法规于1997年3月20日发布，并于1997年8月20日生效，近三十年后仍然有效。您可以在电子版《美国联邦法规》电子版（eCFR）中阅读《美国联邦法规》第21篇第11部分的全文。

‍

21 CFR 第 11 部分合规性究竟要求是什么？

该规则分为三个子部分，但 21 CFR 第 11 部分的实际要求可以归结为一个简短的清单。最清晰的记忆方法是：即使没有纸质记录，每个操作也必须有名称、时间戳和原因。审计跟踪记录了每次创建、编辑或删除操作的时间戳和用户属性，正是它使得这一切成为可能。

‍

‍

21 CFR 第 11 部分适用于哪些人？

第 11 部分适用于受 FDA 监管且以电子方式保存所需记录或使用电子签名代替手写签名的组织。适用范围取决于记录本身，而非部门：受监管组织一旦创建、存储或传输受 FDA 监管的电子文档，处理该文档的系统即进入适用范围。这包括传输系统，因此，诸如安全在线传真服务之类的系统也属于适用范围。 Fax.Plus 当该设备承载受监管文件时，需要配备审计追踪和访问控制机制。FDA 在其适用范围和应用指南中详细说明了该规则的广泛影响。

‍

21 CFR 第 11 部分与 HIPAA：有什么区别？

这两者经常被混淆，但区分它们至关重要。 《健康保险流通与责任法案》(HIPAA) 保护受保护健康信息 (PHI) 的隐私和安全，PHI 指的是受监管实体处理的可识别个人身份的健康数据。 《联邦法规汇编》第 21 篇第 11 部分则保护受 FDA 监管的电子记录和签名的完整性和可追溯性。HIPAA的一项常用工具是Business伙伴协议 (BAA) ，该协议允许供应商代表您处理 PHI。它们解决的是不同的问题，一个系统可以满足其中一项要求，而无需满足另一项要求。

‍

‍

如何应对 21 CFR 第 11 部分合规性问题

将合规视为一套可实际证明的控制措施，而不是一个可以购买的标签。在实践中，这意味着一个经过验证的系统，包括供应商文档、访问控制和唯一用户帐户、完整的审计跟踪、唯一且经过验证的电子签名以及明确的记录保存期限。如果某个声明无法提供证据，请淡化处理，而不是夸大其词，因为监管机构评估的是你能证明什么，而不是你声称什么。

‍

常问问题

‍

21 CFR 第 11 部分何时生效？

最终规则于 1997 年发布，并于 1997 年 8 月 20 日生效。该规则至今仍然有效，并继续适用于受 FDA 监管的电子记录和签名。

‍

21 CFR 第 11 部分适用于哪些人？

它适用于受 FDA 监管的组织（例如制药、生物技术、医疗器械和临床运营），这些组织以电子方式创建、修改、维护、存档、检索或传输所需记录，或者使用电子签名代替手写签名。

‍

21 CFR 第 11 部分的目的是什么？

其目的是使电子记录和签名与纸质记录一样值得信赖，从而使 FDA 监管的记录能够被信赖为准确、可追溯且防篡改。

‍

是否有任何产品开箱即符合“21 CFR 第 11 部分”标准？

不。合规性取决于控制措施以及系统的验证和运行方式，而不仅仅是产品本身。供应商可以支持第 11 部分的要求，但使用组织有责任证明其合规性。

‍

电子签名是否符合 21 CFR 第 11 部分的规定？

电子签名符合以下条件时即可满足第 11 部分的要求：每个签名都唯一且仅属于一人；身份验证已通过（通常采用双因素验证）；签名记录了签名者的姓名、日期和时间以及签名原因。特定工具是否符合要求取决于其配置和验证方式。

‍

您可以根据 21 CFR 第 11 部分的规定使用云软件吗？

是的。当系统经过验证、访问权限得到控制、审计跟踪完整，并且供应商提供支持您自身验证工作的文档时，云软件可以根据第 11 部分使用。