10 — Final Hardened Law/Clause Package (Consolidated Text, Branch J)

Consolidated draft text for GPT/User/Council review. DRAFT ONLY — not enacted, not version-bumped, not written to any law file. Each clause card: Vietnamese wording · technical (English) wording · target location · reason · acceptance test · dependency/blocker. M-DEF-1..9 are confirmed from Round 3; M-DEF-10 (count>1) and the §0-GOV hook are the Round-4 additions; the invariant is promoted to v3 (adds the axis/IU grain + the SB-3 caveat).

M-DEF-1 — Lớp 0 / Non-governed artifact + shared-truth test `[OWN Đ37 §4.15-a]`

VN: "Hiện vật Lớp 0 (không bị quản trị) là thứ riêng tư của một người/phiên/agent, chỉ đọc đối với sự thật chung, không có quyền phê duyệt hay thực thi. Phép thử thành viên: nếu thay đổi nó có thể đổi điều người/agent khác thấy là sự thật, hoặc cấp quyền cho một thao tác ghi, thì nó bị quản trị. Tập nguồn Lớp 0 do HỘI ĐỒNG sở hữu (loại trừ phải được quản trị, không im lặng)."
EN: A Class-0 artifact is single-user/session/agent-private, read-only vs shared truth, no approval/execution power. Membership = shared-truth reachability. The Class-0 source set is a COUNCIL-owned list.
Test: user-pin → 0 issue; global pin → pin_policy_unowned. Dep: none.

M-DEF-2 — Coverage profiles (13 classes) `[OWN Đ37 §4.15-ter]`

VN: "13 lớp đối tượng, mỗi lớp một hồ sơ phủ quản trị = danh sách liên kết bắt buộc. Mỗi dòng nguồn L1 mang default_profile; được phủ ⟺ mọi liên kết bắt buộc của hồ sơ đều phân giải được. Loại đối tượng mới = thêm dòng L1 + hồ sơ (dữ liệu, không phải mã)."
EN: 13 object classes; each a coverage profile (mandatory-link checklist). covered ⟺ all profile-mandatory links resolve. New type = data row. The profile catalog is itself a Class-2 governed registry (editing it → Đ32).
Test: weakening a profile without Đ32 → approval_path_gap. Dep: none.

M-DEF-3 — Accountable owner + 6 responsibility scopes `[OWN Đ37 §4.15-bis; reconciles §4.12]`

VN: "Sáu phạm vi trách nhiệm: chính sách, sức khoẻ, thực thi, hiển thị, phê duyệt, kiểm toán. Đúng một chủ chịu trách nhiệm cho mỗi (đối tượng × phạm vi); vai trò hỗ trợ không giới hạn. §4.12 'một nội dung một luật' được đọc lại là 'một chủ chịu trách nhiệm mỗi phạm vi', không phải một chủ cho mỗi đối tượng."
EN: 6 scopes; exactly one accountable owner per (object × scope); unlimited supporting roles. Same-scope double owner = conflict.
Test: two agencies claim policy scope → conflict (#7/#40). Dep: none.

M-DEF-4 — Birth↔governance precedence `[OWN Đ37 §4.15-b; REF Đ0-G/Đ19]`

VN: "Orphan khai sinh/đăng ký là lỗi tiên quyết: với đối tượng chưa sinh/chưa đăng ký, trình quét quản trị không nêu OWNER_GAP (nhường cho trình quét orphan khai sinh). Phủ quản trị là tầng trên khai sinh; một gốc nguyên nhân = một sự cố (chung không-gian coalesce_key)."
EN: Birth/registry orphan is a prerequisite failure; governance is a layer above birth; one root cause = one issue.
Test: unregistered object → 1 birth issue, 0 governance issue. Dep: none.

M-DEF-5 — Anarchic = thiếu liên kết quyền-lực-cốt-yếu `[OWN Đ37 §4.15-b]`

VN: "Vô chính phủ = governance-orphan thiếu một liên kết cốt yếu về quyền lực (chủ sở hữu, hoặc với đối tượng ghi/rủi-ro-cao thì đường-phê-duyệt/rollback/quyền-DOT/toàn-vẹn-tái-dựng). Thiếu liên kết chỉ-mô-tả (design_ref, audit trên đối tượng chỉ-đọc) = orphan, không phải vô chính phủ. Tính từ gap_type × hồ sơ."
EN: Anarchic = governance-orphan missing an authority-critical link; descriptive-only gaps = orphan, not anarchic. 12 gap types (OWNER/CAPABILITY/APPROVAL_PATH/AUDIT/ROLLBACK/DOT_AUTHORITY/ISSUE_EVENT/LAW_REF/DESIGN_REF/LOCAL_GOVERNANCE_ISLAND/UNRATIFIED_EXCEPTION/GOVERNANCE_SCHEMA_DRIFT).
Test: RO-missing-design_ref ≠ anarchic; mutating-DOT-no-owner = anarchic. Dep: none.

M-DEF-6 — Governed exception (11 fields) + non-exemptable floors `[OWN Đ37 §4.15-d; REF Đ32/admin_fallback_log]`

VN: "Bản ghi 11 trường: exception_type, scope, accountable_owner, reason, risk, approval_ref, expiry, review_cadence, rollback_ref, replacement_plan (bắt buộc), issue_on_expiry; gắn với một vân tay trạng thái (tự vô hiệu khi chữ ký đổi). Sàn không-miễn-trừ: không ghi ngoài DOT, không phê duyệt cục bộ, không tính sự-thật trên UI, không emit/ghi chưa đăng ký, không miễn toàn-vẹn tái-dựng/vector. Tối đa 2 lần gia hạn."
EN: 11-field record + state fingerprint + mandatory replacement_plan + max-2-renewals + non-exemptable floors. Interim store admin_fallback_log until grant_governance_exception exists.
Test: no replacement_plan → cannot grant; RO→write adapter → auto-invalidate; TTL expiry → issue_on_expiry (#61). Dep: SB-1 (action-type) for the native store.

M-DEF-7 — Governance grain + invariant + owner-link-only inheritance `[OWN Đ37 §4.16]`

VN: "Định danh ở grain quản trị = gốc + lớp không-kế-thừa + container (bản ghi lá kế-thừa không đếm riêng). Bất biến: tổng = được_phủ + orphan + ngoại_lệ_duyệt + nghỉ/bỏ_qua_có_duyệt + cũ_không_kiểm_chứng. Kế thừa chỉ phân giải liên kết CHỦ-SỞ-HỮU; liên kết theo rủi ro không bao giờ kế thừa (chống che giấu)."
EN: Governance grain = roots + non-inheriting + containers. Inheritance resolves owner-link ONLY.
Test: +10⁶ children → Δtotal=0; child policy under covered parent still APPROVAL_PATH_GAP (#20/#60). Dep: none.

M-DEF-8 — Trục (axis) là đối tượng được quản trị `[OWN Đ37 §4.15-quater]`

VN: "Một trục là chiều bất kỳ mà các đối tượng được phân loại/đếm/nhóm/pivot/sắp/liên hệ/hiển thị theo đó. Trục khác với đối tượng nó tổ chức và bản thân là một đối tượng được quản trị (hồ sơ AXIS). Thành viên = phép thử sự-thật-chung áp lên việc đổi định nghĩa/từ vựng/chính sách nhóm của trục."
EN: An axis is a classification/count/group/pivot/order/relate/display dimension; distinct from its objects; itself a governed object (profile AXIS).
Test: new pivot group-by unregistered → axis_unregistered (#26). Dep: none (concept); SB-3 at IU substrate.

M-DEF-9 — Sổ Đăng ký Trục (Axis Registry) `[OWN Đ37 §4.15-quater; REF Đ2/Đ0-G]`

VN: "Sổ Đăng ký Trục là một sổ đăng ký được quản trị (Lớp 2) liệt kê mọi trục đang hoạt động theo chín thuộc tính (mã trục, họ trục, chủ-mỗi-phạm-vi, phạm vi, sổ-nguồn-từ-vựng, chính-sách-nhóm, quy-tắc-phủ, đường-sự-cố, vòng đời). Trục tương lai = một dòng mới (dữ liệu). Không có mảng trục cố định ở bất kỳ đâu. Vắng mặt chính nó = inventory_gap (critical)."
EN: Axis Registry = Class-2 governed registry, 9 attributes, ground-truth axis inventory; a future axis is a row; no fixed axis array.
Test: axis-bearing surface absent from registry → axis_unregistered; registry absent → inventory_gap. Dep: SB-2 (born/owned via object edge); SB-3 (IU envelope).

M-DEF-10 — Quy tắc "count > 1" (NEW Round 4) `[OWN Đ37 §4.15-a-bis]`

VN: "count > 1 là cò kích hoạt ứng viên quản trị, không bao giờ là lệnh quản trị tự động. Khi có nhiều hơn một thực thể cùng loại K, loại K vào quy trình phủ và được phân giải bằng phép thử sự-thật-chung + quy tắc grain. Bản thân tính bội KHÔNG tạo yêu cầu chủ-sở-hữu và KHÔNG tạo sự cố. Nếu liên quan: K là chiều → trục (1 dòng Sổ Trục); K là đối tượng có quyền độc lập → đối tượng được quản trị; K là con dưới container → kế thừa liên kết-chủ; con mang chính sách/hành động/route/ngoại-lệ riêng → phủ riêng (không kế thừa liên kết rủi ro)."
EN: count>1 is a candidacy trigger, not a mandate; multiplicity alone creates no owner requirement and no issue; resolved by shared-truth predicate + grain (see doc 04).
Test: 2 personal prefs → 0 issue; 10⁶ children → Δtotal=0; 2 prod routes → governed. Dep: none.

CLAUSE — One-Roof principle `[OWN Đ37 §4.15]`

VN: "Một mái che duy nhất: chính xác một bộ máy quản trị trung tâm. Không bề mặt nào được tạo chủ-sở-hữu/phê-duyệt/chính-sách cục bộ."
EN: Exactly one central governance roof; no surface mints a local owner/approval/policy. Test: local owner declared → LOCAL_GOVERNANCE_ISLAND. Dep: none.

CLAUSE — Local-governance-island `[OWN Đ37 §4.15-c]`

VN: "Đảo quản trị cục bộ = một cụm tự định nghĩa chủ-sở-hữu/phê-duyệt/vòng-đời ngoài mái che; phát hiện bằng PG (bảng-không-chủ / chủ-hằng-trong-dữ-liệu) và CI (cờ-phê-duyệt-cục-bộ / chủ-hardcode-trong-mã)."
EN: Island = cluster defining own owner/approval/lifecycle outside the roof; dual PG + CI detection (OQ-D3). Test: config row encodes an owner/approval policy → island (#55). Dep: none.

CLAUSE — IU first-class governed domain `[OWN Đ37 §4.15-e; REF Đ44/Đ38]`

VN: "Đơn vị Thông tin (miếng thông tin) là một lĩnh vực được quản trị hạng nhất; mọi lớp IU ánh xạ tới một hồ sơ phủ + một chủ chịu trách nhiệm mỗi phạm vi; IU tái dùng mái che trung tâm và không được duy trì đảo quản trị. Ba trục hiện tại (nguồn/gốc, chuyên-ngành, cha-con-cháu) là ví dụ, không phải danh sách đóng; trục IU tương lai = dòng Sổ Trục. Bất biến IU không-miễn-trừ: tái-dựng, toàn-vẹn-quan-hệ, nhất-quán-vector, phủ-quản-trị."
EN: IU is a first-class governed domain; current 3 axes are examples; future IU axes = Axis-Registry rows; non-exemptable IU invariants (reconstruction, relation, vector, coverage). Test: IU cut breaks reconstruction → reconstruction_integrity_fail (#42); vector not reindexed → iu_vector_drift (#63). Dep: OP-B (owner), SB-3 (axis envelope).

CLAUSE — Coverage invariant v3 `[OWN Đ37 §4.16; REF Đ31]`

VN: "Bất biến phủ v3: với mọi phạm vi S, tổng_đối_tượng = được_phủ + orphan + ngoại_lệ_duyệt + nghỉ/bỏ_qua + cũ_không_kiểm_chứng, đóng chính xác ở grain quản trị (gồm grain trục và grain IU). Phạm vi không-đóng = GOVERNANCE_SCHEMA_DRIFT. Lưu ý SB-3: grain trục IU chưa thể vượt 3 trục tại substrate cho tới khi tổng quát hoá envelope."
EN: v3 = v2 + explicit axis-grain and IU-grain terms + the SB-3 substrate caveat. Test: non-closing scope → drift finding. Dep: SB-3.

CLAUSE — Law-level detection obligation `[REF Đ31/Đ19/Đ35; Đ37 §4.17]`

VN: "Mọi lớp đối tượng được quản trị phải đối-chiếu được bằng một trình phát hiện đã đăng ký; bắt buộc tính-đầy-đủ-tồn-kho (nguồn-có-mà-sổ-không = inventory_gap). Phát hiện emit về một substrate Đ31/45 duy nhất."
EN: Every governed class must be reconcilable by a registered detector; inventory completeness; emit to the one Đ31/45 substrate. Test: source in inventory not in registry → inventory_gap (#54). Dep: SB-8 (coverage rows).

CLAUSE — Issue/event anti-spam obligation `[OWN Đ37 §4.17-bis; REF Đ45]`

VN: "Phát hiện phải tổng-hợp ở grain quản trị, dùng coalesce_key, thời-gian-nghỉ, tóm-tắt-vs-chi-tiết, trần-emit, lấy-mẫu; không sự cố mỗi-dòng cho bản ghi kế thừa; trạng thái cũ fail-closed."
EN: Detection aggregates at governance grain; coalesce/cooldown/summary/emit-ceiling/sampling; no per-row issue for inherited records; stale fails closed. Test: 10⁸ objects → ≤1 coalesced issue (#59), validated vs live template_gap=182,378. Dep: none (machinery exists: coalesce_key+occurrence_count).

CLAUSE — Readiness gate (4 phases) `[OWN Đ37 §4.18; REF Đ20/CI]`

VN: "Bốn cổng theo pha: G-DESIGN / G-IMPL / G-ROUTE / G-PROD, nghiêm ngặt tăng dần; nhận-thức-mức-độ (không critical, không high); miễn trừ cổng = chỉ chủ-tịch, có TTL, không tự-miễn, không bao giờ miễn một bất biến an toàn, ship SHIPPED-UNDER-WAIVER (hiện rõ, không im lặng)."
EN: Four phase gates, severity-aware (zero critical/high), president-only TTL waiver, never waives a safety invariant. Test: feature with a critical orphan at G-PROD → blocked. Dep: none (concept); CI for enforcement.

CLAUSE — §0-GOV hook for future laws/docs `[OWN; REF Đ20]`

VN: "Mọi luật/tài-liệu-thiết-kế tương lai mang khối khai báo §0-GOV {đối tượng được quản trị, chủ-mỗi-phạm-vi, hồ sơ phủ, trục giới thiệu, đường phát hiện, loại sự-cố/sự-kiện, ngoại lệ}; vắng tại cổng rà-soát Đ20 = governance_hook_missing."
EN: Every future law/design doc carries a §0-GOV declaration block; absence at the Đ20 review gate = governance_hook_missing. Test: new doc without §0-GOV → blocked (#38/#52/#53). Dep: Đ20 registration (L-2).

PATTERN — Specialized-law reference pattern `[Đ37 cross-link]`

VN: "Luật chuyên ngành giữ cơ chế của mình và tham chiếu Đ37 cho định nghĩa/hợp đồng; Đ37 không sao chép cơ chế. Mỗi luật chuyên ngành mang một dòng tham chiếu Đ37 + khối §0-GOV."
EN: Specialized laws keep mechanisms + reference Đ37 for definitions; Đ37 never duplicates mechanisms; each carries a Đ37-reference line + §0-GOV block (matrix: doc 07).
Test: Đ26 pivot group-by → references Đ37 axis model, not its own. Dep: doc 07 dependencies.

10.1 Clause-family acceptance summary (Q19)

Every clause family above carries a testable acceptance criterion (the "Test" line). The 13 families: Class 0 (M-DEF-1) · profiles (M-DEF-2) · ownership/scope (M-DEF-3) · birth precedence (M-DEF-4) · anarchic (M-DEF-5) · exception (M-DEF-6) · grain/invariant (M-DEF-7) · axis (M-DEF-8/9) · count>1 (M-DEF-10) · one-roof/island · IU first-class · detection+anti-spam · readiness gate + §0-GOV. Answer to Q19 → YES — testable acceptance criteria exist for every key clause family.

10.2 Draft-only declaration

This text is a proposal for review (GPT/User/Council). It is not written to any law file, not enacted, not registered, not version-bumped. Enactment requires the separate human-ratification phase (H-1) after the substrate (SB-1/2/3) and council (OP-B + C-1..C-6) decisions land.

10 — Final Hardened Law/Clause Package (Consolidated Text, Branch J)

M-DEF-1 — Lớp 0 / Non-governed artifact + shared-truth test [OWN Đ37 §4.15-a]

M-DEF-2 — Coverage profiles (13 classes) [OWN Đ37 §4.15-ter]

M-DEF-3 — Accountable owner + 6 responsibility scopes [OWN Đ37 §4.15-bis; reconciles §4.12]

M-DEF-4 — Birth↔governance precedence [OWN Đ37 §4.15-b; REF Đ0-G/Đ19]

M-DEF-5 — Anarchic = thiếu liên kết quyền-lực-cốt-yếu [OWN Đ37 §4.15-b]

M-DEF-6 — Governed exception (11 fields) + non-exemptable floors [OWN Đ37 §4.15-d; REF Đ32/admin_fallback_log]

M-DEF-7 — Governance grain + invariant + owner-link-only inheritance [OWN Đ37 §4.16]

M-DEF-8 — Trục (axis) là đối tượng được quản trị [OWN Đ37 §4.15-quater]

M-DEF-9 — Sổ Đăng ký Trục (Axis Registry) [OWN Đ37 §4.15-quater; REF Đ2/Đ0-G]

M-DEF-10 — Quy tắc "count > 1" (NEW Round 4) [OWN Đ37 §4.15-a-bis]

CLAUSE — One-Roof principle [OWN Đ37 §4.15]

CLAUSE — Local-governance-island [OWN Đ37 §4.15-c]

CLAUSE — IU first-class governed domain [OWN Đ37 §4.15-e; REF Đ44/Đ38]

CLAUSE — Coverage invariant v3 [OWN Đ37 §4.16; REF Đ31]

CLAUSE — Law-level detection obligation [REF Đ31/Đ19/Đ35; Đ37 §4.17]

CLAUSE — Issue/event anti-spam obligation [OWN Đ37 §4.17-bis; REF Đ45]

CLAUSE — Readiness gate (4 phases) [OWN Đ37 §4.18; REF Đ20/CI]

CLAUSE — §0-GOV hook for future laws/docs [OWN; REF Đ20]

PATTERN — Specialized-law reference pattern [Đ37 cross-link]