Он использует оба, чтобы определить, какие версии установить. Файл package-lock.json указывает версии, установленные во время предыдущего запуска, так что вы должны получить точно такие же версии, когда вы извлекаете код и запускаете npm install.
Прежде чем получить файл .lock, вы получить примерно ту же версию, но едва заметные различия могут разрушить развертывание захватывающим образом.
Цель файла блокировки - создать воспроизводимые сборки.
Вы всегда можете снять блокировку и переустановить, но вы можете получить несколько разные версии зависимостей. Это становится очевидным, если вы используете инструмент контроля версий и посмотрите на сделанные изменения.