答：个人信息处理者开展个人信息保护合规审计分两种情形：一是自行开展合规审计，即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计，即履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

　　问5：个人信息处理者如何选择合规审计机构？

　　答：个人信息处理者自行开展合规审计时，可以选择由内部机构自行开展，也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时，履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。

　　问6：《办法》对专业机构提出了哪些要求？