01 — Governed-Object & Coverage Concepts

Tier: Concept / principle only. Technical implementation DEFERRED. No PG/DOT/scanner/UI/apply binding designed here. Source: transcribed from Round-4 doc 10 (Final Hardened Law/Clause Package) — DRAFT clause cards, not enacted, not version-bumped. Each card: Vietnamese gist · technical (EN) gist · acceptance test · dependency/blocker.

---

1. One-Roof Governance principle [Đ37 §4.15 — OWN]

• VN: Một mái che duy nhất: chính xác một bộ máy quản trị trung tâm. Không bề mặt nào được tạo chủ-sở-hữu / phê-duyệt / chính-sách cục bộ. Một governance_registry, một trục phê duyệt (Đ32), một hệ phát hiện/sự-cố/sự-kiện (Đ31 + Đ45), một mô hình thực thi DOT (Đ35).
• EN: Exactly one central governance roof; no surface mints a local owner / approval / policy / lifecycle. Governance is federated-but-central (policy → COUNCIL, health → SIV, DOT → DOT-agency, render → MOUT) — federation of owners under one roof, never a second roof.
• Test: a module declaring a local owner → LOCAL_GOVERNANCE_ISLAND.

2. Governed Object Contract [Đ37 §4.15-a / §4.15-ter — OWN]

M-DEF-1 — Class 0 / non-governed artifact + shared-truth test

• VN: Hiện vật Lớp 0 (không bị quản trị) là thứ riêng tư của một người/phiên/agent, chỉ-đọc đối với sự thật chung, không có quyền phê duyệt hay thực thi. Phép thử thành viên: nếu thay đổi nó có thể đổi điều người/agent khác thấy là sự thật, hoặc cấp quyền cho một thao tác ghi, thì nó bị quản trị. Tập nguồn Lớp 0 do HỘI ĐỒNG sở hữu.
• EN: A Class-0 artifact is single-user/session/agent-private, read-only vs shared truth, with no approval/execution power. Membership = shared-truth reachability. The Class-0 source set is a COUNCIL-owned list (exclusion must itself be governed, not silent).
• Test: user-pin → 0 issue; global pin → pin_policy_unowned.

M-DEF-2 — Coverage profiles (13 object classes)

• VN: 13 lớp đối tượng, mỗi lớp một hồ sơ phủ quản trị = danh sách liên kết bắt buộc. được phủ ⟺ mọi liên kết bắt buộc của hồ sơ phân giải được. Loại đối tượng mới = thêm dòng (dữ liệu), không phải mã. Bản thân danh mục hồ sơ là một sổ đăng ký Lớp 2 (sửa nó → Đ32).
• EN: 13 object classes; each is a coverage profile (a mandatory-link checklist). covered ⟺ all profile-mandatory links resolve. A new object type is a data row, never a code change. The profile catalog is itself a Class-2 governed registry.
• Test: weakening a profile without Đ32 → approval_path_gap.

Governance link set (logical contract). Every governed object resolves to a set of governance links (owner, capability, approval-path, audit, rollback, …). These are not new columns on every table — system-wide no table carries owner_gov_code; ownership is relational, resolved from existing substrate (governance_registry + relations + law_jurisdiction + approval requests). This is a load-bearing reuse-first decision, not a schema proposal.

3. The "count > 1" governance-relevance rule [Đ37 §4.15-a-bis — OWN]

M-DEF-10 — count>1 is a candidacy trigger, NOT a mandate

• VN: count > 1 là cò kích hoạt ứng viên quản trị, không bao giờ là lệnh quản trị tự động. Khi có nhiều hơn một thực thể cùng loại K, phân loại K vào quy trình phủ và phân giải bằng phép thử sự-thật-chung + quy tắc grain. Bản thân tính bội KHÔNG tạo yêu cầu chủ-sở-hữu và KHÔNG tạo sự cố. Nếu liên quan: K là chiều → trục (1 dòng Sổ Trục); K là đối tượng có quyền độc lập → đối tượng được quản trị; K là con dưới container → kế thừa liên kết-chủ; con mang chính sách/hành động/route/ngoại-lệ riêng → phủ riêng.
• EN: count>1 is a candidacy trigger, not a mandate. Multiplicity alone creates no owner requirement and no issue. It nominates K for the coverage pipeline, which then resolves it via the shared-truth predicate + the governance grain (M-DEF-7). Distinction by what K is: a dimension → axis (M-DEF-8/9); an independently-authoritative object → governed object; a child under a container → inherits owner-link only.
• Test: 2 personal prefs → 0 issue; 10⁶ children → Δtotal = 0; 2 production routes → governed.

Disambiguation for surface designers. A render surface (e.g. Registries-Pivot) may use "count > 1 ⇒ expose a child drill layer" as a UI navigation rule — that is legitimate and unaffected. M-DEF-10 governs the governance-relevance sense of count>1, which is strictly a candidacy signal. The two senses must not be conflated: drilling into a count does not, by itself, mint governance obligations.

4. Governance-orphan / anarchic object [Đ37 §4.15-b — OWN]

M-DEF-4 — Birth↔governance precedence

• VN: Orphan khai sinh/đăng ký là lỗi tiên quyết: với đối tượng chưa sinh/chưa đăng ký, trình quét quản trị không nêu OWNER_GAP (nhường cho trình quét orphan khai sinh). Phủ quản trị là tầng trên khai sinh; một gốc nguyên nhân = một sự cố (chung coalesce_key).
• EN: A birth/registry orphan is a prerequisite failure; governance is a layer above birth; one root cause = one issue (shared coalesce_key).
• Test: unregistered object → 1 birth issue, 0 governance issue.

M-DEF-5 — Anarchic = missing an authority-critical link

• VN: Vô chính phủ = governance-orphan thiếu một liên kết cốt yếu về quyền lực (chủ sở hữu, hoặc với đối tượng ghi/rủi-ro-cao thì đường-phê-duyệt/rollback/quyền-DOT/toàn-vẹn-tái-dựng). Thiếu liên kết chỉ-mô-tả (design_ref, audit trên đối tượng chỉ-đọc) = orphan, không phải vô chính phủ.
• EN: Anarchic = a governance-orphan missing an authority-critical link; descriptive-only gaps are orphan, not anarchic. 12 gap types: OWNER · CAPABILITY · APPROVAL_PATH · AUDIT · ROLLBACK · DOT_AUTHORITY · ISSUE_EVENT · LAW_REF · DESIGN_REF · LOCAL_GOVERNANCE_ISLAND · UNRATIFIED_EXCEPTION · GOVERNANCE_SCHEMA_DRIFT. Computed from gap_type × profile.
• Test: RO-missing-design_ref ≠ anarchic; mutating-DOT-no-owner = anarchic.
• Note (L-3): "phantom" (record > actual) is per-source-model: model-A = stale-actual write-race ≠ phantom; model-B = genuine record>actual. Wording is a law-drift item (L-3), not a concept ambiguity.

5. Local-governance-island [Đ37 §4.15-c — OWN]

• VN: Đảo quản trị cục bộ = một cụm tự định nghĩa chủ-sở-hữu / phê-duyệt / vòng-đời ngoài mái che; phát hiện bằng PG (bảng-không-chủ / chủ-hằng-trong-dữ-liệu) và CI (cờ-phê-duyệt-cục-bộ / chủ-hardcode-trong-mã / chủ-khai-báo-ở-frontend).
• EN: An island = a cluster defining its own owner/approval/lifecycle outside the roof. Dual detection channel: PG-detectable (no-owner-table, owner-constant-in-data) and CI-only / source-scan (local-approval-flag, owner-hardcoded-in-code, frontend-declared-owner). The clause must name both channels — a PG-only scan misses islands hidden in code.
• Test: a config row encoding an owner/approval policy → island.

6. Accountable owner vs supporting roles [Đ37 §4.15-bis; reconciles §4.12 — OWN]

M-DEF-3 — 6 responsibility scopes, one accountable owner each

• VN: Sáu phạm vi trách nhiệm: chính sách, sức khoẻ, thực thi, hiển thị, phê duyệt, kiểm toán. Đúng một chủ chịu trách nhiệm cho mỗi (đối tượng × phạm vi); vai trò hỗ trợ không giới hạn. §4.12 "một nội dung một luật" được đọc lại là "một chủ chịu trách nhiệm mỗi phạm vi", không phải một chủ cho mỗi đối tượng.
• EN: Six responsibility scopes (policy / health / execution / render / approval / audit); exactly one accountable owner per (object × scope); unlimited supporting roles. A same-scope double owner = conflict. This re-reads Đ37 §4.12 as one-owner-per-scope, resolving the "one content, one law" tension without contradiction.
• Test: two agencies claim the policy scope of the same object → conflict.

7. Governed exception model [Đ37 §4.15-d; REF Đ32 / admin_fallback_log — OWN contract]

M-DEF-6 — 11-field exception record + non-exemptable floors

• VN: Bản ghi 11 trường: exception_type, scope, accountable_owner, reason, risk, approval_ref, expiry, review_cadence, rollback_ref, replacement_plan (bắt buộc), issue_on_expiry; gắn một vân tay trạng thái (tự vô hiệu khi chữ ký đổi). Sàn không-miễn-trừ: không ghi ngoài DOT, không phê duyệt cục bộ, không tính sự-thật trên UI, không emit/ghi chưa đăng ký, không miễn toàn-vẹn tái-dựng/vector. Tối đa 2 lần gia hạn.
• EN: An 11-field record + a state fingerprint (auto-invalidates when the underlying state signature changes) + a mandatory replacement_plan + max-2-renewals + non-exemptable floors. Interim store = admin_fallback_log until a native grant_governance_exception action-type exists.
• Test: no replacement_plan → cannot grant; RO→write adapter → auto-invalidate; TTL expiry → issue_on_expiry. After the 2nd renewal the exception auto-escalates to critical and the replacement_plan must execute.
• Dep / blocker: SB-1 (native action-type). Concept-tier OK; native store deferred.

8. Governance grain, Coverage Invariant v3 & non-hiding inheritance [Đ37 §4.16 — OWN]

M-DEF-7 — governance grain + invariant + owner-link-only inheritance

• VN: Định danh ở grain quản trị = gốc + lớp không-kế-thừa + container (bản ghi lá kế-thừa không đếm riêng). Kế thừa chỉ phân giải liên kết CHỦ-SỞ-HỮU; liên kết theo rủi ro không bao giờ kế thừa (chống che giấu).
• EN: Governance grain = roots + non-inheriting + containers. Inheritance resolves the owner-link ONLY; risk-bearing links (approval-path, rollback, DOT-authority, exception) never inherit — this is the anti-hiding rule.
• Test: +10⁶ children → Δtotal = 0; a child carrying its own policy under a covered parent still raises APPROVAL_PATH_GAP.

CLAUSE — Coverage Invariant v3 [Đ37 §4.16; REF Đ31 — OWN]

• VN: Bất biến phủ v3: với mọi phạm vi S, tổng_đối_tượng = được_phủ + orphan + ngoại_lệ_duyệt + nghỉ/bỏ_qua_có_duyệt + cũ_không_kiểm_chứng, đóng chính xác ở grain quản trị (gồm grain trục và grain IU). Phạm vi không-đóng = GOVERNANCE_SCHEMA_DRIFT.
• EN: v3 = v2 + explicit axis-grain and IU-grain terms + the SB-3 caveat: total = covered + orphans + approved_exceptions + retired/ignored + stale, closing exactly at the governance grain. A non-closing scope is a drift finding.
• Test: a non-closing scope → drift finding.
• Blocker: SB-3 — the IU axis grain cannot exceed 3 axes at the substrate until iu_three_axis_envelope is generalized. The invariant is concept-true now; substrate-true at IU only after SB-3.

9. Law-level detection obligation [Đ37 §4.17; REF Đ31/Đ19/Đ35 — REFERENCE]

• VN: Mọi lớp đối tượng được quản trị phải đối-chiếu được bằng một trình phát hiện đã đăng ký; bắt buộc tính-đầy-đủ-tồn-kho (nguồn-có-mà-sổ-không = inventory_gap). Phát hiện emit về một substrate Đ31/45 duy nhất.
• EN: Every governed object class must be reconcilable by a registered detector; inventory completeness is mandatory (a source present in inventory but absent from the registry = inventory_gap). The obligation is central (Đ37 owns it); the mechanism is Đ31's (the detector), Đ19's (orphan scanner), Đ35's (DOT execution). This is the governance twin of the birth-orphan reconciliation.
• Test: source in inventory not in registry → inventory_gap.
• Blocker: SB-8 (no dot_coverage_required rows for the new scanner domains). Scanner design is a later tier (NOT in this canon).

10. Noise & scale control (anti-spam) [Đ37 §4.17-bis; REF Đ45 — OWN]

• VN: Phát hiện phải tổng-hợp ở grain quản trị, dùng coalesce_key, thời-gian-nghỉ, tóm-tắt-vs-chi-tiết, trần-emit, lấy-mẫu; không sự cố mỗi-dòng cho bản ghi kế thừa; trạng thái cũ fail-closed.
• EN: Detection aggregates at the governance grain; coalesce-key / cooldown / summary-vs-detail / emit-ceiling / sampling; no per-row issue for inherited records; stale state fails closed.
• Test: 10⁸ objects → ≤ 1 coalesced issue. Validated against the live system_issues.template_gap = 182,378 open rows scale (the machinery — coalesce_key + occurrence_count — already exists).

11. Readiness gate (4 phases) [Đ37 §4.18; REF Đ20/CI — OWN gate]

• VN: Bốn cổng theo pha: G-DESIGN / G-IMPL / G-ROUTE / G-PROD, nghiêm ngặt tăng dần; nhận-thức-mức-độ (không critical, không high); miễn trừ cổng = chỉ chủ-tịch, có TTL, không tự-miễn, không bao giờ miễn một bất biến an toàn; ship SHIPPED-UNDER-WAIVER (hiện rõ, không im lặng).
• EN: Four phase gates (G-DESIGN → G-IMPL → G-ROUTE → G-PROD), monotonically stricter, severity-aware (zero critical/high to pass), president-only TTL waiver that never waives a safety invariant; a waived ship is visibly labelled SHIPPED-UNDER-WAIVER. Blocking-in-deploy for the production gate (a true gate must block); scheduled-detect for the population sweep.
• Test: a feature with a critical orphan reaching G-PROD → blocked.

12. §0-GOV hook for future laws/docs [Đ37 §0-GOV; REF Đ20 — OWN]

• VN: Mọi luật/tài-liệu-thiết-kế tương lai mang khối khai báo §0-GOV {đối tượng được quản trị, chủ-mỗi-phạm-vi, hồ sơ phủ, trục giới thiệu, đường phát hiện, loại sự-cố/sự-kiện, ngoại lệ}; vắng tại cổng rà-soát Đ20 = governance_hook_missing (blocking).
• EN: Every future law/design doc carries a declarative §0-GOV block (data, not code):

§0-GOV Governance Coverage Declaration
  governed_objects:   [ <object classes this doc introduces> ]
  owner_per_scope:    { policy:, health:, execution:, render:, approval:, audit: }
  coverage_profile:   [ <profile per object class> ]
  axes_introduced:    [ <axis codes, if any> → Axis Registry ]
  detection_path:     <detector / inventory source>
  issue_event_types:  [ <registered types under Đ45> ]
  exceptions:         [ <governed exception refs, if any> ]

Absence at the Đ20 design-review gate = governance_hook_missing. This is how future laws/docs declare coverage and how specialized laws reference Đ37 without duplicating it.

• Test: a new doc without §0-GOV → blocked at review.
• Blocker: L-2 (Đ20 itself must be registered in normative_registry); content-only, does not block this concept tier.

---

Acceptance summary (concept tier)

Every card above carries a testable acceptance criterion (the "Test" line). The 13 clause families — Class 0 · profiles · ownership/scope · birth precedence · anarchic · exception · grain/invariant · axis · count>1 · one-roof/island · IU first-class (doc 02) · detection+anti-spam · readiness-gate + §0-GOV — each have a testable acceptance criterion. Technical implementation of every detector, DOT, scanner, store, and gate is DEFERRED to a later tier behind the blockers in doc 03.