2026年对化妆品企业来说不是一个轻松的年份。EU的香料过敏原标签要求(Regulation 2023/1545)在7月31日前全面执行,INCI命名更新在7月30日前完成,新的成分限制也在陆续生效。美国的MoCRA(化妆品现代化监管法案)进入第二年,设施注册双年续期正式启动,而GMP法规虽然仍在"长期行动计划"里,但FDA已经明确期望企业建立结构化的生产控制体系。
在这些监管要求背后,ISO 22716(化妆品良好生产规范)是贯穿EU和美国的核心标准。EU Regulation 1223/2009直接引用ISO 22716作为GMP合规基准;FDA的MoCRA虽然还没发布最终GMP规则,但业界普遍认为ISO 22716将构成实质框架。
对中国化妆品出口企业来说,理解ISO 22716的审计要点不是"加分项",而是进入EU和美国市场的必修课。
ISO 22716是什么
ISO 22716的全称是"Cosmetics — Good Manufacturing Practices (GMP) — Guidelines on Good Manufacturing Practices",2007年首次发布,是唯一国际统一的化妆品GMP标准。它覆盖了从原料采购、生产制造、质量控制到仓储运输的全链条。
标准正文包含17个章节、311条建议。它的设计原则是"不规定具体怎么做,而是规定要达到什么效果"——给企业留了灵活空间,但也意味着很多企业低估了实际需要多少书面证据来证明合规。
ISO 22716的17个章节
| 章节 | 内容 | 审计高频关注 |
|---|---|---|
| 1. 范围 | 适用范围 | — |
| 2. 引用标准 | 引用的其他标准 | — |
| 3. 术语和定义 | 关键术语 | — |
| 4. 人员 | 资质、培训、卫生 | 培训记录和有效性 |
| 5. 厂房和设施 | 设计、维护、清洁 | 清洁验证、交叉污染控制 |
| 6. 设备 | 设计、校准、维护 | 校准计划和记录 |
| 7. 原料和包装材料 | 接收、检验、储存 | 供应商评价、来料检验 |
| 8. 生产 | 批记录、工艺控制 | 偏差处理、批次追溯 |
| 9. 成品 | 检验、放行 | 放行标准、留样 |
| 10. 质量控制实验室 | 方法、设备、记录 | 方法验证、OOS处理 |
| 11. 不合格品处理 | 隔离、调查、处置 | 根本原因分析 |
| 12. 废弃物 | 分类、处理 | — |
| 13. 外包和合同生产 | 质量协议、评估 | 责任划分、审计权利 |
| 14. 偏差 | 记录、调查、CAPA | CAPA有效性 |
| 15. 投诉和召回 | 接收、调查、纠正 | 时效性、记录完整性 |
| 16. 变更控制 | 评估、批准、实施 | 变更影响评估 |
| 17. 内部审计 | 计划、执行、跟踪 | 审计覆盖面、纠正跟踪 |
EU化妆品GMP审计:监管机构的检查方式
EU的化妆品监管由各成员国的主管部门执行——比如法国的DGCCRF、德国的BfArM。他们在检查企业GMP合规性时,以ISO 22716为框架。
欧洲企业最常见的五个不合格项
根据行业审计数据和Care Europe的分析,EU化妆品企业最常见的ISO 22716不合格项集中在:
1. 文件控制和记录管理(第17章 + 第8章)不是"没有文件",而是文件和实际操作之间有差距。审计员会抽查批记录,对比SOP要求——如果你SOP里写了"搅拌15分钟",但批记录上只有"搅拌完成"四个字,这就是不合格。
2. 投诉处理和召回程序(第15章)投诉没有集中的记录系统,或者投诉调查的深度不够。审计员期望看到每一条投诉都有完整的调查记录、根本原因分析和纠正措施。
3. 供应商评价(第7章 + 第13章)对关键原料供应商的评估只看了COA(分析证书),没有对其质量体系的评估。特别是合同制造商(CMO)的管理——质量协议是否明确、审计权利是否写入合同。
4. 偏差和CAPA(第14章)偏差记录了但没有深入调查根本原因,或者CAPA关了但同类偏差反复出现。
5. 内部审计(第17章)内审覆盖面不够——没有覆盖所有GMP相关区域,或者内审发现的问题没有及时关闭。
MoCRA下的GMP期望
美国的MoCRA给了FDA建立和执行化妆品GMP的法定权限。截至2026年中期,最终GMP法规仍在制定中(被FDA列为"长期行动"),但FDA已经明确表示期望企业展示结构化的生产控制。
FDA检查可能覆盖的方面
根据MoCRA授权和FDA的检查权限,FDA可能进行的检查包括:
- 设施检查
- 文件审查
- 记录调取
- 不良事件调查
- 合规验证
这些检查适用于所有在FDA注册的化妆品设施,包括海外设施。
MoCRA GMP与ISO 22716的关系
虽然最终规则还没出台,但FDA在立法过程中多次引用了ISO 22716。对于中国出口企业来说,现在就按ISO 22716建立GMP体系,是最稳妥的准备。 等FDA发布最终规则后再调整,可能来不及——而且很多ISO 22716的要求本身就符合良好的生产实践。
中国出口企业的ISO 22716自查清单
以下是一份面向中国化妆品出口企业的实操自查清单。每个检查项对应ISO 22716的具体章节,并标注了EU和美国两边的关注度。
人员(第4章)
- 质量负责人和生产负责人的岗位职责是否书面化,且没有利益冲突
- 所有直接接触产品的人员是否有健康档案
- GMP培训是否有计划、有记录、有考核——培训后能否证明员工理解了要求
- 临时工/外包人员是否经过同等培训
- 人员卫生规范是否书面化(洗手、防护服、化妆限制等)
EU关注: 高。审计员会抽查培训记录和考核结果。
MoCRA关注: 中等。FDA更关注结果的合规性而非培训过程本身。
厂房和设施(第5章)
- 生产区、仓储区、QC实验室是否有明确的分区
- 温湿度控制是否有监测记录
- 清洁和消毒是否有书面程序、记录和使用中的消毒剂清单
- 虫害控制是否有书面程序和记录
- 水系统(如果适用)是否有监测和维护计划
- 空气净化系统(如果适用)是否有过滤器的更换记录
EU关注: 高。DGCCRF检查时会实地查看厂房状态。
MoCRA关注: 中等。
设备(第6章)
- 关键生产设备是否有校准计划,且在有效期内
- 设备维护是否有预防性维护计划
- 设备清洁是否有书面程序和清洁验证(特别是共用设备)
- 校准用的标准器是否有可追溯性
EU关注: 高。共用设备的清洁验证是重点。
MoCRA关注: 中等。
原料和包装材料(第7章)
- 每批原料是否做了来料检验或验证
- 关键原料供应商是否有评价记录(不只是收集COA)
- 原料储存条件是否符合供应商要求
- 先进先出(FIFO)原则是否执行
- 不合格原料是否隔离并记录处理方式
EU关注: 极高。EU对供应链可追溯性的要求非常严格。
MoCRA关注: 高。FDA对原料安全的关注在MoCRA下只会增加。
生产(第8章)
- 每批产品是否有完整的批生产记录
- 批记录中的关键工艺参数是否实际填写(而不是事后补填)
- 批产前是否有设备清场确认
- 中间产品是否有控制标准和检验
- 交叉污染控制措施是否有书面程序
EU关注: 极高。批记录的完整性和真实性是审计员最常查的内容。
MoCRA关注: 高。
成品(第9章)
- 是否有书面的产品放行标准和程序
- 放行人是否经过授权
- 每批是否做了成品检验
- 留样制度是否建立(数量、条件、期限)
- 稳定性测试方案是否有(特别是新产品)
EU关注: 极高。留样和稳定性数据是CPSR(化妆品安全报告)的重要组成部分。
MoCRA关注: 高。
质量控制实验室(第10章)
- QC方法是否有验证或确认
- 对照品和试剂的管理是否有制度
- OOS(超标结果)是否有调查程序
- 实验室设备是否在校准有效期内
- 微生物检验是否定期进行(含水的化妆品尤其重要)
EU关注: 高。微生物控制和挑战试验是常见审计发现。
MoCRA关注: 中高。
外包和合同生产(第13章)
- 与每个CMO是否签订了质量协议
- 质量协议是否明确了责任划分、审计权利、变更通知义务
- 对CMO是否定期进行审计或评价
- 委托方是否保留了最终放行权
EU关注: 极高。EU监管机构对品牌方( Responsible Person )的合规责任要求很严格——即使生产外包了,品牌方仍然承担合规义务。
MoCRA关注: 高。MoCRA下"Responsible Person"的角色类似。
投诉和召回(第15章)
- 是否有书面的投诉处理程序
- 投诉是否集中记录和编号
- 每条投诉是否有调查记录和纠正措施
- 召回程序是否有书面文件和演练记录
- 严重不良事件是否有快速上报机制
EU关注: 极高。EU要求严重不良事件在20天内上报。
MoCRA关注: 极高。MoCRA引入了化妆品不良事件强制报告。
变更控制(第16章)
- 原料、工艺、设备、标签的变更是否有评估和批准流程
- 变更是否评估了对成品质量的影响
- 变更实施后是否有跟踪和验证
EU关注: 高。配方变更需要更新PIF和CPSR。
MoCRA关注: 高。品牌名称、Responsible Person或产品类别代码的变更需要在60天内报告。
内部审计(第17章)
- 是否有年度内审计划
- 内审是否覆盖所有GMP章节
- 内审员是否经过培训且独立于被审核部门
- 内审发现是否有纠正措施和关闭时限
- 纠正措施关闭后是否做了有效性验证
EU关注: 高。
MoCRA关注: 中等。
2026年EU化妆品合规时间线
对中国出口EU的化妆品企业,2026年有以下关键日期需要关注:
| 时间 | 事项 | 影响 |
|---|---|---|
| 2026年7月30日 | INCI名称更新(Implementing Decision 2025/1175) | 标签需使用新INCI名称 |
| 2026年7月31日 | 香料过敏原扩展标签(Regulation 2023/1545) | 从26种扩展到80+种,标签和CPSR都需更新 |
| 已生效 | CMR物质限制(Regulation 2024/996) | 新增retinoids、arbutin、kojic acid等的限量要求 |
| 持续 | ISO 22716 GMP合规 | 监管机构随时可检查 |
这些日期不是建议性的——是在EU市场上合法销售的硬性要求。如果你的产品在2026年7月后仍在EU销售,但标签和CPSR没有更新,就构成了不合规。
合同制造商(CMO)的特殊考量
很多中国化妆品出口企业同时扮演两个角色:自有品牌(出口到EU/美国)和合同制造商(为海外品牌代工)。在GMP审计的语境下,两者的合规责任不同:
作为品牌方(委托方)
- 确保PIF(产品信息文件)完整且最新
- 确保CPSR由合格的安全评估员签署
- 保留产品放行的最终决定权
- 确保标签符合所有市场要求
- 建立不良事件报告渠道
作为合同制造商
- 确保生产过程符合ISO 22716
- 维护完整的批生产记录
- 执行来料检验和成品放行
- 配合品牌方的审计要求
- 及时报告生产偏差和质量问题
两种角色的合规要求会叠加。如果你的企业既做自有品牌又做代工,需要确保两套合规体系都到位。
建立GMP体系的优先级
如果你的企业目前还没有完整的ISO 22716体系,建议按以下优先级推进:
第一阶段(1-3个月):- 建立批记录模板和批记录填写规范
- 建立来料检验程序
- 建立投诉处理程序
- 完成关键岗位的GMP培训
- 完成供应商评价(至少覆盖关键原料供应商)
- 建立偏差和CAPA程序
- 建立变更控制程序
- 建立内部审计程序
- 完善质量协议(与所有CMO和关键供应商)
- 完成设备校准计划
- 建立稳定性测试方案
- 做一次完整的内部审计
- 定期内审和管理评审
- 持续培训
- 法规变更跟踪(EU和MoCRA)
- 准备外部审计(ISO 22716认证或监管机构检查)
参考资源
- ISO 22716:2007 Cosmetics GMP — ISO标准原文(需购买)
- EU Regulation 1223/2009 Article 8 — EU化妆品GMP法律要求
- FDA: MoCRA Registration & Listing — MoCRA注册和列名
- Care Europe: ISO 22716 Audit Checklist — EU制造商常见不合格项分析
- Ecomundo: MoCRA Update 2026 — MoCRA 2026更新解读
- Annell: 2026 Critical Year for Cosmetic Compliance — 2026年化妆品合规关键节点
相关文章
GMP审计证书全流程解析:中国药企和器械企业出海必备的合规通行证
详解GMP审计证书的获取流程、FDA/EU/WHO/PIC/S各体系差异,以及中国企业如何用GMP证书打开全球市场。
MoCRA 2026第二阶段:PFAS州法禁令、GMP起草、过敏原标注——中国化妆品企业的合规优先级
详解美国MoCRA化妆品法规2026年最新进展:14个州PFAS禁令已生效、GMP规则起草中、香料过敏原拟议规则预计5月发布,以及中国化妆品出口企业的分阶段应对策略。
预灌封注射器药械组合产品全球注册:FDA、EMA与NMPA分类判定、CMC策略与出海实操
预灌封注射器作为药械组合产品的全球注册路径全解析:FDA组合产品办公室OCP分类判定、RFD流程、EMA药品主导路径、NMPA分类界定,以及CMC相容性研究、可提取物/可沥滤物、容器密封性验证和2026年QMSR质量体系要求。