奈及利亞央行給予銀行和金融科技公司6個月時間，將客戶交易數據存儲於境內

奈及利亞中央銀行（CBN）已指示所有金融機構及支付營運商，將在奈及利亞境內產生的支付交易數據儲存並管理於本地伺服器，並給予業界至2027年1月1日前達到完全合規。

該指令載於一份由支付系統監管部門主任Rakiya O. Yusuf簽署的通函，對象涵蓋存款銀行、微型金融銀行、行動支付營運商、轉接與處理公司、支付終端服務提供商、支付解決方案服務提供商、超級代理商及其他持牌支付營運商。

CBN表示，數據本地化要求必須符合奈及利亞的數據保護法律法規，並將監控合規情況，必要時施以監管制裁。

該通函編號為PSS/DIR/PUB/CIR/001/004，日期為2026年6月15日，並引入市場結構要求，將任何單一機構在發卡或收單業務中的市場佔有率上限設為25%，並進一步規定，任何跨越該門檻的實體不得同時在另一業務中持有超過15%的市場份額。

受影響機構須於2026年12月31日前遵守市場結構規則，即數據本地化截止期限生效前一天。

CBN表示，這一系列更廣泛的措施旨在應對集中風險、提升透明度，並促進公平且具韌性的支付生態系統，並指出數位支付的快速增長已使部分營運商在關鍵支付業務中積累了可觀的市場存在，引發結構性隱憂。

通函亦要求所有具有數位支付業務的金融機構，揭露重要股東的最終實質受益人，並保存準確且最新的記錄，以備CBN隨時查閱。

延伸閱讀：CBN PSV 2028：奈及利亞如何利用eNaira與穩定幣為5000萬人提供金融服務

本地儲存的實際成本究竟為何？

數據本地化要求的到來，恰逢奈及利亞數位基礎設施尚未追上支付業界現有處理交易量之際。

對於目前依賴境外雲端基礎設施的機構，無論是透過AWS、Google Cloud或Microsoft Azure等全球超大規模雲端服務商，合規意味著須將工作負載遷移至本地數據中心，或與相同供應商協商在奈及利亞設立本地可用區，這兩種方式均非簡單或低成本之舉。

相關成本至少可分為三類。

• 第一類為資本支出，涵蓋許多規模較小的金融科技公司、微型金融銀行及支付解決方案服務提供商目前尚不具備、也難以承擔的實體或合約本地儲存容量。
• 第二類為營運成本，涵蓋本地數據託管所引入的持續管理、安全認證及審計要求。
• 第三類也是最不顯而易見的，是過渡風險，即從現在至2027年1月這段期間，機構必須在不中斷數百萬奈及利亞人日常賴以使用的支付基礎設施的前提下，遷移即時交易數據。

對於擁有現有技術基礎設施的大型機構而言，在2027年1月前完成合規的時間尚屬可行，但並不寬裕。

CBN總裁，Yemi Cardoso

對於眾多持牌營運商中的長尾業者，包括超級代理商及規模較小的轉接公司，此指令實際上設下了合規倒計時，卻未附帶任何說明成本如何分擔或是否提供技術協助的配套框架。

CBN以數據主權與監管監督為核心的論述框架具有正當性，並與印度、肯亞及非洲其他地區監管機構的類似舉措相呼應。

實際問題在於，本地數據中心市場目前仍由少數供應商主導，能否在截止期限前以足夠快的速度擴充，並提供具競爭力的定價，以服務整個支付生態系統。

通函未能解答的問題是，機構是否將獲准使用在奈及利亞境內設有本地可用區的國際雲端服務商作為合規基礎設施——這一區別可能大幅改變業界大多數機構的成本計算，也是CBN很可能需要在合規規劃能夠精確推進之前加以釐清的事項。