Me parece algo interessante para projetos legados, como um colega que comentou aqui falou. Mas no geral, para projetos com versões mais atuais, acho que seria meio redundante as duas perguntas, não? O npm install acaba chegando no mesmo fim do npm ci e o package-lock.json poderia ser setado com opcional quando se fala de controle de versão. Não sei se estou correto no meu pensamento, aberto a comentários. :)