这取决于审计的类型以及贵公司与审计公司之间的合同。此外，隐私法、有关隐私相关数据的协议和 NDA 可能在判断请求方面发挥重要作用。

作为一个实用建议：询问您的法律部门，因为这不是根植于 IT 而是法律和合同的问题。尝试以几乎没有 IT 背景的律师可以理解的方式解释您的担忧。

您可以尝试提供一个精简的日志作为初始响应，并要求审核员澄清是否需要额外的数据以及原因。但是这种方法是否是一个好主意，取决于情况。

我自己是一名 IT 审计员。当我进行审计时，我会根据风险评估证据的充分性。审计风险，即无法发现重大错报或不符合规则/政策的风险，根据其组成部分进行评估 -

• 固有风险——被审计的风险基础过程
• 控制风险——错误的内部控制无法防止或发现错误陈述/欺诈/不遵守政策的风险
• 检测风险——审计师使用的技术不足以或不适合全面评估审计过程中的风险的风险。

固有风险和控制风险与满足审计师的判断所需的证据数量直接相关，即被审计的应用程序正在有效运行、适当安全并保护敏感数据的机密性。

审计师的要求不是任意的，而是基于证据的强度和风险程度，所以...... -

您应该只提供审计师要求的内容 - 足以评估特定事实的证据。