一个警务技术公司员工,远程访问了儿童体操房的摄像头。公司说,这是城市授权的 demo partner program,用来测试、调试、给其他警局演示产品。
这句话听起来像合规解释。
但对家长和居民来说,刺耳的地方不在“有没有授权”四个字,而在另一个事实:孩子训练、游泳、上学、玩耍的地方,已经被接进一套可远程调用、可演示、可调试、可销售的公共安全平台。
Flock Safety 的隐私争议,过去常被讲成车牌识别系统的问题:你不想被车牌监控,想退出,想删除数据,Flock 往往把责任推回给使用系统的“甲方”——城市、警局或其他公共机构。
邓伍迪这批公开记录,把问题往前推了一格。
它补上的新信息是:Flock 的系统不只是收集路口车牌,也能把学校、社区中心、健身场所、私人机构摄像头纳入同一张网;供应商员工在授权框架下,也可能接触这些画面,用于演示和调试。
这比“删不删车牌数据”更麻烦。
因为数据一旦进入平台,责任就开始变形。
发生了什么:摄像头不是只在路口看车牌
佐治亚州邓伍迪市与 Flock Safety 合作建设 Real Time Crime Center。当地居民 Jason Hunyar 通过公开记录请求,拿到了 Flock 的访问日志。
日志显示,Flock 员工曾访问多处敏感摄像头,包括 Marcus Jewish Community Center of Atlanta,也就是 MJCCA 的儿童体操房、泳池,以及学校、游乐场、健身场所等空间。
Flock 承认访问发生,但给出的解释是:这些访问属于市府授权的 demo partner program,用于产品测试、调试和向其他警局演示功能。公司否认所谓“监视儿童”的说法。
邓伍迪市长 Lynn Deutsch 表示,Flock 将不再把该市用于演示项目,但市府无意终止合同。
几个要点压缩一下:
| 问题 | 目前能确认的事实 | 真正争议 |
|---|---|---|
| Flock 是否访问了敏感摄像头 | 访问日志显示访问发生,Flock 也承认 | 访问边界是否合理 |
| 是否属于非法偷窥 | 目前没有证据证明恶意监看 | 授权是否足够具体、居民是否知情 |
| 摄像头只属于政府吗 | 包括私人机构摄像头接入 | 私有空间接入公共安全网络后的责任归属 |
| 城市是否终止合同 | 邓伍迪无意终止 | 采购合同是否会加硬限制 |
Flock CEO Garrett Langley 已向 MJCCA 道歉,称选择 MJCCA 摄像头而不是城市其他区域做演示,是“判断不当”。
这封道歉信也来自公开记录。
道歉有用,但它只承认选点不合适。它没有推翻那个更关键的结构:供应商在城市授权下,可以把真实城市摄像头拿来做产品演示。
为什么重要:从“删除数据”变成“谁能碰空间”
旧问题是这样:一个人不想让自己的车牌被 Flock 系统长期记录,要求删除或退出,Flock 往往说,数据由客户拥有,具体请求要找城市或执法机构。
这就是典型的责任踢皮球。
公司说自己只是供应商。城市说采购是为了治安。用户夹在中间,既不是合同当事人,也不是系统管理员,却是被记录的人。
邓伍迪事件让这套说法更难听了。
因为摄像头网络已经越过“路口设备”的边界。Flock 支持的 Real Time Crime Center 可以整合车牌识别摄像头、枪声检测、警用执法记录仪、云台摄像头、911 呼叫定位和第三方视频摄像头。
换句话说,它不是一台摄像头。
它是一层城市操作界面。
过去,一所学校或社区中心的摄像头主要服务本地安保。接入警务平台后,它可能成为实时犯罪中心的一部分。再叠加供应商调试、销售演示、跨部门共享,访问主体就被拉长了。
Flock 官网常见的表述是:客户拥有数据,Flock 不会分享、出售或访问你的数据,Flock 没有人在访问或监看你的画面。
这类话并不一定是法律意义上的假话。
但普通人读到的含义很直接:供应商不会碰我的画面。
demo partner program 暴露出来的现实却是:在某些授权场景里,供应商员工可以访问真实摄像头。访问日志能被调出来,说明事后可审计;它不能证明事前边界就划好了。
“有日志”不是免罪牌。
它只是告诉你,门开过,谁进过,什么时候进过。它不回答这扇门本来该不该开。
谁受影响:不是所有用户,主要是两类人
这件事对普通路人当然有关,但最直接受影响的是两类人。
一类是被接入空间里的居民、家长、学生、会员。
他们未必知道自己所在的学校、社区中心、泳池、健身房摄像头,已经进入城市公共安全平台。更未必知道供应商员工能否在测试、调试、演示时访问这些画面。
安全摄像头原本的心理契约很简单:这里装摄像头,是为了保护这个场所。
接入平台后,契约变了。它不再只服务这个场所,也服务城市警务、供应商产品、销售展示和系统迭代。
第二类是城市采购者。
他们过去买这类系统,最容易问三件事:破案率、响应速度、报价。
现在必须多问几句,而且要写进合同:
- 哪些摄像头不得用于演示;
- 供应商员工何时可以访问,谁批准;
- 私人机构接入后,家长、学生、会员如何被告知;
- 访问日志多久公开一次;
- 数据删除、退出请求到底由谁处理;
- 跨部门、跨城市、跨机构共享是否默认关闭。
如果这些条款没有可执行的后果,所谓隐私承诺就是软装。
好看,不挡风。
我的判断:Flock 最危险的不是摄像头,而是责任结构
Flock 当然可以说,城市授权了,日志存在,访问可追溯。这个辩护有一部分事实基础。
很多安防供应商连这种日志都不会让公众轻易看到。邓伍迪居民能通过公开记录拿到访问痕迹,本身说明公共记录制度仍然有牙齿。
但这不能掩盖核心问题。
Flock 的产品逻辑,是把越来越多城市节点接进同一个警务平台。车牌、视频、枪声、911、执法记录仪、第三方摄像头,最后都变成一个界面上的资源。
平台越强,边界越弱。
每多接入一个场所,公共安全的收益可能增加,滥用和误用的半径也增加。供应商有动力展示“系统有多强”,城市有动力证明“采购有价值”,警务部门有动力扩大可见范围。
居民在这套激励里最被动。
他们承担被记录、被访问、被误用的风险,却很少参与合同设计。
这就是我不太买账的地方:把责任拆成“客户拥有数据”“供应商只是执行”“城市只是采购”,看似各有边界,最后往往变成没人真正对个人负责。
古话说,“天下熙熙,皆为利来”。放到今天的警务技术市场,就是另一种版本:城市要治安指标,供应商要销售样板,机构要安全背书。每个动机单看都不邪恶,叠在一起就会把隐私边界磨薄。
这不完全等同于老式监控社会。
老式 CCTV 的权力集中在本地机房、保安室、派出所。Flock 这类平台更像云时代的警务操作系统。它的危险不在某一台摄像头,而在“接入后默认可用”的平台惯性。
Axon、Motorola Solutions 等公共安全技术公司也在把执法记录仪、调度、视频、AI 分析打包销售。行业竞争的真正战场,不是谁的镜头更清楚,而是谁能把更多城市节点收进同一套工作流。
这就是平台战争的老戏码。
铁路、电力、电话网、互联网广告系统,都经历过类似阶段:先用效率说服社会接入,再用规模反过来定义规则。差别在于,今天被接入的不只是货物、电话和网页点击,还有儿童体操房、学校、泳池和车牌轨迹。
接下来该看什么:别只看道歉,看合同有没有牙
邓伍迪市已经说,不再让 Flock 把该市用于演示项目。
这只是最低动作。
真正要看的,是合同有没有出现硬限制:哪些画面不能访问,哪些用途必须事前审批,哪些访问必须事后公开,哪些违规会触发罚款、停用或解约。
如果只是换一句“以后不这么演示”,远程访问、第三方接入、供应商调试仍然照旧,居民担心的东西没有消失。
它只是从台前退回后台。
Flock 的隐私争议已经从“我能不能退出车牌监控”升级为“城市能不能替我把生活空间交出去”。
前者是数据权利问题。
后者是治理能力问题。
产品越像基础设施,越不能靠客服话术和道歉邮件维持信任。治安当然重要,但治安不能包打天下。尤其不能把儿童体操房变成销售样板间,然后告诉居民:别担心,我们有授权。