我想退出车牌监控系统，对方却让我去找“甲方”：Flock Safety 与隐私责任的踢皮球

一封退订邮件，撞上了一整套监控生意

事情的起点很小，甚至有点像互联网时代的“取消订阅”操作：一位加州居民给 Flock Safety 的隐私邮箱发邮件，要求删除公司数据库中与自己、自己的车辆以及家庭成员相关的所有信息，并明确表示未来也不同意对方继续收集和存储这些数据。

如果这是一个普通 App，你大概已经能猜到后续剧情：系统自动回复、流程说明、也许再附上一个表单链接。但 Flock Safety 不是普通互联网公司。它做的是面向警方、社区、商业园区和物业的车牌识别与监控系统。说直白一点，这家公司卖的不是“软件便利”，而是一种数字化、规模化、低摩擦的现实世界追踪能力。

Flock 的回复也很有代表性。它说，自己只是“服务提供商”和“处理者”，数据的拥有者和控制者是客户，因此无法直接满足这位居民的删除请求，建议当事人去联系采购 Flock 服务的机构。邮件里还顺手强调了几个标准口径：公司不出售数据；车牌识别系统不处理姓名和住址这类敏感信息；数据默认保留 30 天；用途是公共安全、案件调查和提供客观证据。

这一套说辞，你很难说它陌生。过去几年，不少科技公司在隐私争议里都练就了一门共同话术：数据不是我的，是“客户的”；决定不是我做的，是“流程的”；我只是基础设施，不是最终责任人。问题在于，当基础设施本身就是监控体系的一部分时，这种切割责任的说法，听起来就不那么令人放心了。

“我只是处理数据”这句话，真的能站得住吗？

发起请求的人显然不买账。他的判断是，Flock 才是实际收集并处理个人可识别信息的实体，因此按他对《加州消费者隐私法案》（CCPA）的理解，公司理应履行删除请求。至于法律上最终谁说了算，也许要等律师或监管机构给答案，但从常识层面看，这确实戳中了现代隐私治理最别扭的地方：每个人都在收集数据，但每个人都说自己只是“代为处理”。

Flock 的逻辑并非完全没有依据。在美国乃至欧洲的数据合规框架里，“控制者”和“处理者”确实是两个不同角色。采购系统的警方、社区或企业，理论上决定为什么收集、如何使用、保存多久；技术供应商则按照合同执行。这种分工在 SaaS、云服务、企业软件里非常常见。

但问题是，车牌识别不是一张 Excel 表，也不是一个内部 CRM 系统。它部署在街头、路口、社区门口、停车场出入口，面对的是根本没有主动同意、甚至未必知道自己被记录的公众。当你的汽车每天进出城市，摄像头拍到的不是一段抽象数据，而是你的通勤路线、家庭住址的大致范围、常去医院、常去学校、是否参加某场集会，甚至能拼出你的生活习惯。单条车牌记录也许不敏感，但当它们被时间戳和地理位置串起来，就足以变成一份行为画像。

这也是为什么 Flock 邮件里那句“我们不处理姓名和地址”听上去有点避重就轻。隐私风险从来不只来自身份证字段。今天的监控技术越来越擅长用“非敏感碎片”拼出极其敏感的结论。你不用知道一个人叫张三还是 John Doe，只要知道他的车每天晚上停在哪儿、周末去哪里、最近是否频繁出现在某家诊所附近，很多信息已经呼之欲出。

车牌识别为何在 2026 年格外敏感

如果把时间拨回十年前，公众对城市监控的感知更多来自 CCTV，也就是“有摄像头在看”。到了今天，争议的重心已经变成“谁能检索”“谁能关联”“谁能长期留存”。Flock Safety 之所以引发关注，不是因为它发明了摄像头，而是因为它把分散在各地的摄像头、算法识别、云端检索和跨机构协作打包成了一门成熟生意。

这家公司过去几年在美国扩张很快。它的卖点非常符合当下治安科技市场的胃口：部署方便、上手门槛低、界面友好、检索迅速，警方或社区管理者可以很快拿到“什么车在什么时间经过什么地方”的线索。对用户来说，这是一种高效率；对普通路人来说，这是一张默认加入、无法退订的城市感知网络。

更敏感的是，美国正处在一个“公共安全”与“公民自由”持续拉扯的时期。治安焦虑、社区自治、地方执法数字化，都在推动这类系统扩张；与此同时，围绕监控滥用、错误识别、越权查询、数据共享边界的质疑也越来越多。亚马逊旗下 Ring 曾因警方合作模式和邻里监控网络受到激烈批评，Clearview AI 则因为抓取海量人脸图像训练搜索引擎，成为全球隐私诉讼和监管的靶子。Flock 没有 Clearview 那么“吓人”，但它更贴近日常，也更容易被包装成温和的基础设施。

也正因为这种“温和”，它更值得警惕。人们对高调的人脸识别项目会本能反感，对路口一个不起眼的黑色摄像头却常常麻木。可真正改变社会权力结构的，往往不是最戏剧化的技术，而是那些悄无声息、装得像日用品一样的系统。

默认保留 30 天，不等于问题只有 30 天

Flock 在邮件中提到，系统默认仅保存 30 天数据，并会滚动删除；客户也可以根据当地法律或政策调整留存时间。看起来这像是在给公众吃定心丸：别担心，我们没把你的行踪保存到天荒地老。

但 30 天本身已经足够长。想象一下，一个月内你的所有出行轨迹都能被检索，这对于调查盗窃案当然很有帮助，对研究某人的活动规律同样也非常有帮助。更关键的是，“默认 30 天”不是“最多 30 天”。一旦客户能按本地政策修改，公众就会碰到一个熟悉的问题：到底哪些地方改了，谁改了，改成多久，普通人怎么知道？

还有一个经常被忽略的现实问题：即便底层原始数据被删除，是否存在告警记录、案件导出、截图留存、跨机构共享后的副本、第三方系统中的再存储？很多监控系统的风险，恰恰不在主数据库，而在数据流转后留下的影子。隐私世界里最难删掉的，从来不是“一个文件”，而是一整条使用链路。

所以，眼下最关键的问题其实不是 Flock 这次回邮件时态度够不够礼貌——虽然把对方名字拼错两次，多少有点让人怀疑这封“隐私答复”到底有多用心——而是：当一家监控技术公司能触达公众数据，却又主张自己不直接对公众负责时，法律和监管是否跟得上这种现实？

比起删数据，更大的问题是：普通人根本不知道该去找谁

这件事为什么重要，不只是因为一个加州居民可能会不会起诉，而是它揭示了一个更普遍的困境：在平台时代，个人至少知道去找平台；在基础设施时代，个人往往连责任主体都认不清。

你在社交平台发帖，知道该向平台申诉；你在电商买东西，知道客服入口在哪儿。可如果你开车经过一个装了 Flock 设备的街区，被记录、索引、存储、共享，你要去找谁？找摄像头所属的社区？找当地警方？找物业公司？找技术供应商？还是找州总检察长？隐私权一旦进入这种多方外包结构，权利本身就容易变成纸面权利。

更现实一点说，大多数人没有精力逐个去确认自己所在城市、社区、停车场、学校周边到底部署了哪些系统，更不要说逐一提交删除请求。所谓“你可以选择退出”，前提是你知道入口在哪儿，且退出成本不能高到形同虚设。如果一个人必须先当半个调查记者、半个律师，才有机会要求别人别再记录自己，这样的隐私权设计，显然已经偏离了初衷。

我更关心的，是这类事件会不会推动美国各州在监控科技上提出更具体的规则。比如，技术供应商是否应承担面向公众的最低响应义务；公共空间数据采集是否必须提供统一、可发现的申诉渠道；所谓“处理者”在大规模监控场景下是否仍能完全躲在客户之后。过去的隐私法很多是为网页 Cookie、广告追踪、用户账户设计的，面对街头感知系统，它们开始显得不够用了。

Flock 这封邮件也像一面镜子，照出了监控行业最典型的姿态：当技术有用时，企业强调自己的平台能力；当责任找上门时，又迅速变成“我们只是工具提供者”。这种叙事上的伸缩自如，正是今天隐私争议最令人疲惫的地方。

如果这位加州居民真的继续追究，哪怕最后只是得到一纸更明确的法律解释，这件事也很可能超出个人维权的范畴。它会逼着行业回答一个简单却尖锐的问题：在一个默认被记录的世界里，普通人到底有没有权利说一句——请把我删掉？