T/GXAS 996-2025 人类生物样本库数据管理要求

　　团

　　体

　　GXAS

　　标 准

　　T/GXAS 996—2025

　　人类生物样本库数据管理要求

　　Data Management Requirements For Human Biobank

　　2025 - 05 - 15 发布 2025 - 05 - 21 实施

　　广西标准化协会 发 布

　　前 言

　　本文件参照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由钦州市第二人民医院提出并宣贯。

　　本文件由广西标准化协会归口。

　　本文件起草单位：钦州市第二人民医院、北部湾大学、钦州市疾病预防控制中心、右江民族医学院附属医院。

　　本文件主要起草人：黄丽玲、廖振南、许承琼、王远干、熊理贤、邓益斌、仇继任、方章光、陈永正、陈基东、陈樱君、黄婷婷、陈良军、邓安安、胡俐蕊、黄张华、黄凯华、罗春英、刘志先、刘秀平、李梅、黄晓霞、张婷婷、方秀业、刘蓉萍、罗燕夏、沈扬慧、肖宝、卓训妮、凌旖潞、莫流芳。

　　人类生物样本库数据管理要求

　　1 范围

　　本文件界定了人类生物样本库(以下简称“样本库”)数据管理涉及的术语和定义，确立了数据采集、数据管理、数据质量等要求。

　　本文件适用于医疗卫生机构、科研机构等承担样本库工作的机构。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 20988 信息安全技术 信息系统灾难恢复规范

　　GB/T 22239 信息安全技术 网络安全等级保护基本要求

　　GB/T 37864—2019 生物样本库质量和能力通用要求

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　人类生物样本库 human biobank

　　开展人类生物样本保藏的合法实体或其部分。

　　[来源：GB/T 39766—2021，3.1]

　　3.2

　　人类生物样本 human biological material

　　为开展科学研究，从人体获得的各种器官、组织、细胞等生物材料,包括但不限于血液、皮肤、骨髓、肌肉、毛发、分泌物、内脏器官、精卵细胞等。

　　注：包含人类生物样本及相关数据两部分内容。

　　[来源：GB/T 38736—2020，3.1]

　　3.3

　　信息管理系统 information management system

　　管理人类生物样本库所储存的生物样本相关数据的软件及硬件。

　　[来源：GB/T 40364—2021，3.44] 3.4

　　去标识化 de-identification

　　指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

　　4 基本要求

　　4.1 人员要求

　　4.1.1 样本库工作人员应具有大学本科及以上学历，并具备样本库相应的专业知识、技能和经验，定期接受培训和考核，取得相应的资质证书。人员培训应遵守 GB/T 37864—2019 中 6.2.3 的要求。

　　4.1.2 所有参与样本采集、处理、使用、存储和销毁等业务流程的人员，应严格遵守隐私和信息安全相关法律法规，不得从事危害信息安全的行为，并切实履行保密义务。

　　4.1.3 样本库需设立门禁系统，工作人员进出样本库必须刷门禁卡、指纹识别或人脸识别等生物特征识别进入，门禁卡禁止借给其他人。

　　4.1.4 所有参与信息管理系统实施、操作、维护及管理的人员，应与信息管理系统的管理机构签订数

　　据安全保密协议书，履行数据安全及数据保密义务。保密协议书见附录 A。

　　4.2 仪器设备

　　4.2.1 具备满足数据采集、存储和管理所需的仪器设备。宜包括但不限于临床样本采集相关设备、临床样本处理相关设备、临床样本质检相关设备、临床样本储存相关设备、环境监测设备、临床样本信息化管理软硬件系统、常用办公设备、防护装备等。设备应符合 GB/T 37864—2019 中 6.5 的设备要求。

　　4.2.2 仪器设备应根据工作需要制定计量检定/校准方案对在用计量器具按期进行计量检定/校准,并确认计量检定/校准结论或结果满足使用要求。如发现计量检定/校准证书或合格标记丢失或超期，应及时采取纠正措施，办理补证手续。

　　4.2.3 建立仪器设备的使用和维护记录，定期进行维护和校准，确保其正常运行。

　　4.3 信息管理系统

　　4.3.1 样本库应配备计算机信息管理系统和有关终端设备，用于人类生物样本及其相关业务的流程控制和信息管理，如釆集、制备、存储、记录、报告和检索等。

　　4.3.2 样本库信息管理系统应符合国家网络安全等级保护第二级及以上要求。系统在投入使用前应通过功能测试和等级保护测评，具备防止未授权访问、数据篡改和丢失的安全防护能力，并建立系统失效记录、应急处理、纠正措施以及数据完整性、访问控制和备份恢复机制。

　　4.3.3 样本库应使用独立服务器，确保数据的安全性和数据承载容量，并确保其能满足进一步扩容，以便添加或处理与生物样本相关的信息与数据。

　　5 数据采集

　　5.1 采集原则

　　5.1.1 必须获得研究对象/参与者的知情同意，保护被采集者合法权益的同时，保护采集者免于诉讼。

　　5.1.2 获得样本数据信息来源机构伦理委员会审查同意，样本数据信息的采集、处理、存储与管理应对我国国家安全、国家利益和公共安全没有危害，须符合各项规范、相关法律法规及伦理相关条例原则。

　　5.2 采集内容

　　采集的数据应包括但不限于如下内容：

　　a) 样本基本信息：包括样本类型、样本编号、资源分类等与样本本身及其管理直接相关的基础信息;

　　b) 相关个体信息：包括诊断资料、健康状况、治疗资料、图像、随访信息、家系信息、民族、出生日期、性别、生殖方式、生活史、表型和性状等附属信息。其中相关临床信息可通过样本库信息管理系统与医疗卫生机构、科研机构的内部信息管理系统(如医院信息系统(HIS)、实验室信息系统(LIS))互联互通后自动采集;

　　c) 样本采集信息：包括采集时间、采集人员、样本来源人姓名、性别、年龄、采集样本类型等与采集过程相关的信息;

　　d) 样本运输信息：包括运输温度、运输设备、运输介质、运输时间、运输人员、运输距离等运输过程中的相关信息;

　　e) 样本入库信息：包括样本分装信息、入库编号、入库时间、存储位置等样本进入生物样本库管理系统时的相关信息;

　　f) 样本保藏信息：包括保藏方案、保藏条件、保藏方法等样本长期保存所需的技术参数和操作记录信息;

　　g) 样本出库信息：包括出库编号、出库时间、出库人员、出库申请人信息、出库样本数量等样本调用过程中的记录信息;

　　h) 样本使用信息：包括使用时间、使用单位、使用人员、使用目的等样本被用于研究或其他用途时的相关信息;

　　i) 样本质量控制信息：包括实验内容、实验结果、实验人、实验日期等与样本质量评估和监控有关的信息;

　　j) 样本销毁信息：包括销毁序号、入库编号、样本原始位置、销毁日期、销毁原因、经手人等样本销毁过程的记录信息;

　　k) 安全和伦理信息：包括生物安全等级、伦理审批文件、捐赠者知情同意书等涉及生物安全与伦理合规的相关信息。

　　6 数据质量

　　对采集的数据质量的评估应包括但不限于如下内容：

　　a) 数据规范性：数据须满足相应数据标准、数据模型、元数据、业务规则、权威参考数据、安全规范要求;

　　b) 数据完整性：对数据进行有效性验证和实时更新，可以通过各种技术手段实现数据的实时更新和修复，确保数据包括所有必要的样本信息，无遗漏;

　　c) 数据准确性：对采集到的数据进行验证和核对，确保数据准确无误，误差控制在可接受的范围内;

　　d) 数据一致性：确保同一数据在不同时间、不同地点、不同系统的采集和记录过程中保持一致;

　　e) 数据时效性：生物样本数据须满足基于时间段的正确性、基于时间点及时性、时序性要求，对违反以上时间规则的数据进行逻辑判断并进行质量控制;

　　f) 数据可访问性：医疗卫生机构或科研机构的工作人员依据 7.2.2 进行分级访问，在权限控制范围内确保数据的可访问性;

　　g) 数据真实性：确保采集到的数据真实反映样本的实际情况，避免造假和篡改。

　　7 数据使用和管理

　　7.1 日常管理

　　应建立信息资源库管理制度，进行信息资源库的监控管理、日常检查、隐患排查、故障排除、备份恢复、性能优化、防护管理、应急管理、人员管理、数据使用管理等日常管理工作。其中，备份恢复应制定备份策略，对信息资源库进行日常备份和灾难备份，信息资源库的灾难备份要求参见GB/T 20988相关规定。

　　7.2 安全管理

　　7.2.1 基本要求

　　应根据实际情况确定样本库信息管理系统的安全级别，依据 GB/T 22239 相应等级保护要求执行，且需建立必要的安全管理制度，落实安全保密责任，采取安全措施，确保样本库信息管理系统的数据和运行环境的安全。

　　7.2.2 分级浏览

　　样本库应制定有效的信息管理制度，对样本数据的存储和访问进行安全性监督与管理，防范样本数据信息的泄露。样本库对所有信息分三个等级进行管理，严格控制共享范围，设置访问权限，并对授权记录进行日志留存，同时对三级信息咨询列入审计日志，特殊信息根据实际情况进行授权访问。所有可查询的信息都应对个人隐私信息去标识化，不可追踪到个人。如下：

　　a) 一级信息：指样本基本信息、样本质量控制信息和销毁信息等不涉及个人隐私与安全的信息，包括样本编号、样本类型、样本来源途径、存储方式、数量、保存单位、资源分类、样本销毁等信息。这一级别信息医疗卫生机构或科研机构所有使用人员可见，无需特殊授权可直接查询;

　　b) 二级信息：指样本研究的附属信息，不涉及个人隐私与安全，包括样本的详细描述、采集地点、采集者、疾病史、疾病分类、治疗反应、样本的分析结果、研究目的等。这一级别的信息对于特定研究人员或项目组、样本库工作人员可见，这类信息需生物样本库信息管理员特定授权访问，通过身份核实验证后，方可查询;

　　c) 三级信息：指样本涉及个人敏感的附属信息，包括个人社会人口学信息、遗传信息等具体内容，涉及个人隐私与安全的信息。这一级别的信息需经过样本数据信息来源机构的人类遗传资源管理委员会、伦理委员会和学术委员会的审批，并在样本库主任授权后，对于特定研究人员、样本库管理人员或项目负责人可见。

　　7.2.3 数据使用与共享

　　要求如下：

　　a) 信息资源申请方申请数据使用或共享时，首先注册并访问信息管理系统;

　　b) 填写《样本信息资源需求申请表》，并准备其他纸质材料送至样本库，包括：课题项目伦理审查批件的副本、课题立项书等研究说明(包括研究目的、研究方案、使用样本信息数据的必要性说明等);

　　c) 样本库首先对提交的纸质材料进行初步审核，递交样本数据信息来源机构的人类遗传资源管理委员会、伦理委员会和学术委员会的审批通过，签署保密协议后才可查询。信息资源申请流程见附录 B。信息资源需求申请表参见附录 C;

　　d) 涉及数据出境的应符合国家有关法律法规规定;

　　e) 涉及国家秘密的数据使用与共享，应符合国家保密管理规定。

　　7.2.4 隐私保护

　　要求如下：

　　a) 信息资源申请方应承诺保护资源数据的安全并签订保密协议，保护研究对象的个人敏感信息，不得试图通过获得的数据来识别和寻找研究对象;

　　b) 样本库应制定严格的信息发布机制，样本针对姓名、身份证信息、详细家庭住址、生物识别、电话号码、电子邮箱地址、宗教信仰、特定身份、金融账户、行踪轨迹等个人高度敏感信息进行去标识化处理，防止样本资源个人高度敏感信息泄露;

　　c) 样本库管理部门应履行个人信息保护职责，负责对个人信息处理活动以及采取的保护措施等进行监督。

　　7.2.5 应急预案

　　要求如下：

　　a) 信息泄露应急预案：样本库业务数据泄露后，需立即向样本库主任汇报，由应急小组分析数据，定位泄露源，修补安全漏洞，防止进一步危害，并举报至执法部门。发现黑客攻击，立即切断网络，保护现场，报告信息管理系统管理机构的内部信息管理部门，并按照国家法律法规上报相关部门。信息管理部门负责查找入侵，整改内部网，管理员确认安全后恢复应用。紧急处置后，进行安全加固，确保无风险隐患。

　　b) 样本库网瘫应急预案：当样本库遭遇长时间停电或信息硬件检修/应用程序更新导致信息管理系统故障或非故障瘫痪时，应做好预防应急措施，第一时间报告样本库主任并联系相关部门及第三方工程师。手工记录样本信息，待系统恢复后补录。停电导致条形码无法打印时，标记样本并存储，待系统恢复后打印。样本库应定期演练信息管理系统瘫痪情况，确保无网络下样本入库操作顺利。

　　7.3 可追溯性

　　样本库应确保每一个生物样本及相关数据从采集、获得或接收到分发、弃用或销毁的全过程具有可追溯性，以保证生物样本保藏活动过程中数据查询的需要。

　　8 质量控制

　　8.1 应确定能够影响生物样本质量的关键数据，且至少对这些关键数据建立、成文并实施质量控制(Quality Control, QC)程序。对不合格生物样本及相关数据应进行有效标识，并采取措施控制其报告和分发范围。

　　8.2 应明确 QC 实施的类型和频率，并注重数据的规范性、准确性、完整性、一致性、时效性、可访问性和真实性。

　　8.3 样本库 QC 结果原始数据的总结分析记录，应设定样本库内的专人分析 QC 数据，还应定期分析QC 结果的趋势，以证明样本及相关数据能满足预期要求。可通过信息管理系统提供的数据支持对各环节的质量情况进行监控与评估。

　　8.4 样本数据信息来源机构的质量管理办公室应定期对样本库的数据质量进行监督检查，确保数据管理过程可控、结果可靠。

　　附 录 A (资料性)保密协议书

　　保密协议书见图A.1。

　　图A.1 保密协议书

　　附 录 B

　　(资料性)

　　样本信息资源申请流程

　　图B.1给出了人类生物样本信息资源申请流程图。

　　图B.1 样本信息资源申请流程图

　　附 录 C

　　(资料性)

　　样本信息资源需求申请表

　　表C.1给出了生物样本信息资源需求的《样本信息资源需求申请表》。

　　表 C.1 样本信息资源需求申请表

　　参 考 文 献

　　[1] GB/T 38736—2020 人类生物样本保藏伦理要求

　　[2] GB/T 39766—2021 人类生物样本库管理规范

　　[3] GB/T 40364—2021 人类生物样本库基础术语

　　[4] CNAS. 医学实验室质量和能力认可准则: CNAS-CL02 (ISO 15189:2012, IDT)[S]. 北京: 中国合格评定国家认可委员会, 2012.

　　[5] 张勇. 生物样本库建设与实践[M]. 广州: 中山大学出版社, 2013.

　　[6] 国务院. 中华人民共和国人类遗传资源管理条例[S]. 北京: 中国法制出版社, 2019.

　　[7] ISBER. 生物样本库最佳实践: 第4版[R]. 国际生物和环境样本库协会, 2018.

　　[8] ISO. Biotechnology — Biobanking — General requirements for biobanking: ISO 20387:2018[S]. Geneva: International Organization for Standardization, 2018.

　　[9] CNAS. 公正性和保密规则: CNAS-R02:2018[S]. 北京: 中国合格评定国家认可委员会, 2018.

　　[10] 中华人民共和国国家卫生健康委员会. 涉及人的生物医学研究伦理审查办法 : 国卫科教发〔2023〕4号[S]. 北京: 国家卫生健康委员会, 2023.