如何避免电子签名合规风险？制药企业必看

德恩GMP咨询

随着数字化转型深入推进，电子签名作为身份认证与意愿确认的关键技术，在制药行业得到广泛应用。尤其在全球药品监管趋严、数据完整性要求不断提高的背景下，电子签名的合规应用已成为企业质量管理体系不可或缺的一环。那么，应如何确保电子签名的合规性？

本文梳理了电子签名在制药领域的应用现状、合规要求，为企业GMP合规实践提供参考。

01 应用现状

首先，我们先了解电子签名在制药行业的应用。主要涵盖两类场景：

• 业务系统集成型
  

电子签名功能内嵌于系统中，如ERP，WMS，DMS，eQMS，MES，LIMS，CDS，ELN，TMS, PLM等，适用于特定业务流程（如订单审批、产品放行等），实现签署环节与业务操作的一体化。

2. 独立软件型

如DocuSign、e签宝等第三方专业签署平台，支持多种电子文件签署，既可独立运行，也具备与业务系统对接的能力，适用性广泛。

02 合规性要求

电子签名的合规性是怎么样的呢？我们从中美欧三个主流市场的相关法规角度进行分析。

🇨🇳 中国相关法规

在通用制药领域，电子签名的合规性工作需遵循《中华人民共和国电子签名法》。

其他指南法规：

GMP附录《计算机化系统》明确指出“电子数据可以采用电子签名的方式，电子签名应当遵循相应法律法规的要求”。

《药品记录与数据管理要求（试行） 》规定“确保登录用户的唯一性与可追溯性，当采用电子签名时，应当符合《中华人民共和国电子签名法》的相关规定”。其中，《中华人民共和国电子签名法》以下内容非常关键：

• 第十三条 明确“可靠电子签名”应满足四大条件，包括签名专有性、签署控制权、签名与文件防篡改等。”
• 第十四条 “可靠的电子签名与手写签名或者盖章具有同等的法律效力。”
• 第十六条 “电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供证服务。”
  

解析

• “可靠电子签名”属法律概念，未强制要求具体技术实现；
• “CA认证电子签名”通过技术加固提升可靠性，CA机构需获国家工信部许可并取得CA牌照。
  

🇪🇺 欧盟相关法规

面向欧盟GMP合规性开展电子签名工作时需遵循EUGMP附录11《计算机化系统》的要求，其中明确要求：

Electronic records may be signed electronically. Electronic signatures are expected to:

• have the same impact as hand-written signatures within the boundaries of the company
  
  （在企业内部与手写签名具有同等效力）
• be permanently linked to their respective record
  （与记录永久关联）
• include the time and date that they were applied
  （包含签署时间与日期）
  

除了GMP，电子签名需要符合通用领域的要求，EU Regulation No. 910/2014 (elDAS) Article 3定义了三类电子签名如下：

(10) ‘electronic signature’ means data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign;

（‘电子签名’是指附着于或其他电子形式逻辑关联于其他电子形式数据，且由签署人用于签名的电子形式数据）

(11) ‘advanced electronic signature’ means an electronic signature which meets the requirements set out in Article 26;

（‘高级电子签名’是指符合第26条所述要求的电子签名）

(12) ‘qualified electronic signature’ means an advanced electronic signature that is created by a qualified electronic signature creation device, and which is based on a qualified certificate for electronic signatures.

（‘合格电子签名’是指基于合格电子签名证书、并通过合格的电子签名生成设备所生成的高级电子签名）

Article 26 Requirements for advanced electronic signatures要求如下：

An advanced electronic signature shall meet the following requirements:

• it is uniquely linked to the signatory;
  （该签名能够唯一关联签署人）
• it is capable of identifying the signatory;
  （能够用于识别签署人身份）
• it is created using electronic signature creation data that the signatory can, with a high level of confidence, use under his sole control; and
  （使用电子签名制作数据创建，且签署人能够以高度确信的方式单独控制该数据）
• it is linked to the data signed therewith in such a way that any subsequent change in the data is detectable.
  （与所签署数据相关联，使得数据后续的任何更改均可被侦测）
  

本次欧盟GMP附录11的修订是一次全面且深入的更新，提高了法规要求的清晰度和可操作性，并积极回应了行业技术发展的趋势。该修订正处于征求意见阶段，医药企业应提前评估其现有计算机化系统管理体系与新要求的差距，为未来的GMP合规做好准备。

解析

• 欧盟SES普通电子签名（信任度：低）和AES高级电子签名（信任度：中等）属法律概念，无强制技术门槛；
• AES高级电子签名可以使用更灵活的认证方式，无需政府背书；
• QES（信任度：高）是结合技术应用的高级电子签名，需使用elDAS标准的合格签名设备，使用由欧盟信任列表（EUTL）中的机构颁发证书，并对用户进行身份核验，司法认可度高。
  

🇺🇸 美国相关法规

行业普遍优先遵循21CFR Part11《电子记录与电子签名》，其详尽的描述和指导，使之成为GxP领域的广泛参考。即便非美国市场企业，也常借鉴该法规进行电子签名并开展合规管理，而不过多关注通用领域的电子签名法规要求。在中国、欧盟等主流市场，结合适当的管理，现阶段这种做法是可以满足合规要求的。

在通用领域则遵循《国际和国内贸易电子签名法案》（ESIGN Act）和《统一电子交易法》（UETA），坚持技术中立原则，重点包括：

• 签署人明确同意使用电子签名；
• 签署流程应能验证身份及意图。
  

解析

• 不强制要求使用特定技术
• 强调实现电子签名与手写签名等效的控制效果
  

03 要点总结

基于上述法规分析，我们可以总结出以下5个关键方面。

1. 内部使用场景

企业内电子签名（如ERP、WMS内置功能），结合劳动关系和内部相关规程，当前可以达到GMP合规性和通用领域的合规性要求，例如ERP、WMS内置的电子/数字签名。

2. 技术应用

尽管法律未强制电子签名的技术要求，但推荐采用CA认证（基于PKI体系）等以增强防篡改能力，简化司法举证，是行业最优解。国内CA认证的电子签名和欧盟QES（认证电子签名）可提供全链路存证，具备直接法律效力。

3. 内外签名协同

涉及外部签名（如审计报告、质量协议、临床试验文件等），通常建议采用CA认证的电子签名，以控制司法举证风险，尤其适用于高价值文件。

4. 验证合规性

业务系统集成的电子签名功能通常随着业务系统开展验证；独立电子签名软件虽技术成熟、可靠度高，但如果用于GMP领域，也必须考虑GMP法规对签名关联信息的要求，并开展验证。

5. 更优技术解决方案

企业可以推动业务系统与独立电子签名软件的集成，以认证的电子签名替代业务系统内置签名，以增加技术可靠性。

综上，全球监管机构日益期望行业使用认证电子签名，甚至有可能强制使用认证电子签名，如以下法规的相关要求：

• 2022年，中国《疫苗生产检验电子化记录技术指南（试行）》：有条件的，建议采用可靠的电子签名，利用密码技术采用第三方CA证书。
• 2024年，中国《血液制品生产检验电子化记录技术指南（征求意见稿）》：鼓励使用第三方CA机构颁发的数字证书实现可靠的电子签名。
• 2025年，欧盟近日发布的GMP附11《计算机化系统》草案：对于开放式系统，电子签名应使用可信服务。
  

电子签名在制药行业的合规应用不仅关乎技术实现，更是质量管理与法律风险控制的重要战略。企业应结合自身业务场景与合规目标，全面评估国内外法规要求，选择合适的电子签名解决方案，构建合规、安全、可审计的电子签名体系。

德恩咨询电子签名相关服务

德恩咨询可为您提供全周期的电子签名合规解决方案，确保您的电子签名实践既满足监管期望，又支撑业务创新。可提供的服务如下：

1. 编写与审核电子签名管理SOP

2. 电子签名软件验证

3. 专题培训

4. 电子签名合规评估与报告

关于gempex德恩咨询

德恩咨询是gempex在中国的全资子公司，是具有国际影响力的GMP咨询与执行机构，致力于为全球的生命科学企业提供合规、高效及可执行的GMP解决方案。经过23年的发展，我们拥有60多位经验丰富的GMP专家，全球累计执行项目超过5000个，累计为1000多个客户提供专业服务，业务遍布20多个国家，并与众多知名药企建立了长期的合作关系。

我们的专家团队拥有丰富的行业经验，熟知NMPA、FDA、EU、WHO、ICH、PIC/S、MHRA、SWISSMEDIC、TGA等GMP法规要求，能为不同国家和地区的客户提供定制化的解决方案，服务包括全球GMP符合性、新厂房合规性、CS计算机化系统、工厂质量管理和多国MAH/MAA服务。

yhgz

路过学习！

胖丁

路过学习！