NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

同意允许个人参与关于其信息处理的决策，并将处理可识别个人身份信息所产生的一部分风险从组织转移到个人身上。根据适用的法律、行政命令、指令、法规、政策、标准或指南，可能需要获得同意。否则，在选择同意作为控制手段时，组织会考虑个人是否可以合理地理解并接受其授权所带来的隐私风险。组织还会考虑其他控制措施是否可能单独或与同意结合，更有效地降低隐私风险。组织还会考虑任何可能影响个人对系统或组织所进行处理的理解或行为的人口统计或背景因素。在征求个人同意时，组织会考虑获取同意的适当机制，包括同意的类型（例如（选择加入、选择退出），如何正确地对个人进行身份验证和身份确认，以及如何通过电子方式获得同意。此外，组织应考虑在适当情况下提供机制，以便个人在提供同意后撤回同意。最后，组织会考虑可用性因素，以帮助个人在提供同意时理解所承担的风险，包括使用通俗易懂的语言并避免技术术语。