İçeriğe geç
ceaksan
analytics

OpenAI Ads Kimlik Eşleştirme ve Gizlilik: SHA-256, oppref ve opt_out

OpenAI Ads, dönüşümü reklam etkileşimine bağlamak için user nesnesindeki kimlik alanlarını kullanır. E-posta ve dış kimlik SHA-256 ile hash'lenip küçük harf 64 karakter onaltılık dize olarak gönderilir; ham e-posta, dış kimlik ve telefon asla gönderilmez. Bu yazı kimlik eşleştirmeyi, hash kurallarını, oppref ve opt_out alanlarını açıklar.

17 Haz 2026 3 dk okuma
TL;DR

OpenAI Ads bir dönüşümü reklam etkileşimine bağlarken event içindeki user nesnesinin kimlik alanlarını kullanır. Tüm alanlar opsiyoneldir; yalnızca elde olan gönderilir. E-posta ve dış kimlik SHA-256 ile hash'lenir ve küçük harf, 64 karakter onaltılık dize olarak iletilir; e-posta hash'inden önce boşluk temizlenip küçük harfe çevrilir. Ham e-posta, ham dış kimlik, telefon numarası ve telefon hash'i asla gönderilmez. Coğrafi alanlar, IP ve user-agent ham gönderilir. oppref OpenAI'nin sağladığı gizlilik koruyan kimliktir; opt_out true ise event kişiselleştirme dışı kalır, varsayılanı false. Hash'leme kimliği gizler ama KVKK ve GDPR açısından veriyi anonim değil pseudonymous kılar.

OpenAI Ads bir dönüşümü doğru reklam etkileşimine bağlarken event içindeki user nesnesinin kimlik alanlarına bakar. Bu alanlar ne kadar eksiksizse eşleşme o kadar güçlü olur, ama tasarım gizlilik önceliklidir: kişisel tanımlayıcılar tarayıcıdan ya da sunucudan çıkmadan önce hash’lenir. KVKK ve GDPR açısından bu ayrım önemli, çünkü hash’leme veriyi maskeler ama tek başına kişisel veri olmaktan çıkarmaz. Bu yazı kimlik eşleştirme alanlarını, hash kurallarını, oppref ve opt_out alanlarını açıklar.

Aşağıdaki teknik bölümler consent-nötr bir bağlamda ele alınmaktadır; alanların nasıl gönderildiğini tarif eder, hukuki dayanağı belirlemez. Hukuki dayanak ve aydınlatma, kurulumdan ayrı bir karardır.

Kimlik Eşleştirme Neden Var

Bir reklam tıklaması ile sonradan gerçekleşen dönüşümü eşleştirmek, çerez ve tarayıcı kısıtları arttıkça zorlaşır. user nesnesindeki alanlar bu boşluğu kapatır: e-posta, dış kimlik ve coğrafi sinyaller, dönüşümü kullanıcıya bağlamak için ek eşleştirme malzemesi verir. Tüm alanlar opsiyoneldir ve yalnızca elde olan gönderilir; daha fazla alan daha yüksek eşleşme olasılığı demektir, ama hiçbiri zorunlu değildir.

user Nesnesi Alanları

user nesnesi event içinde taşınır ve iki gruba ayrılır: hash’lenerek gönderilenler ve ham gönderilenler1.

AlanGönderimAçıklama
email_sha256Hash (SHA-256)E-posta; boşluk temizlenip küçük harfe çevrildikten sonra hash
external_id_sha256Hash (SHA-256)Sistemdeki kararlı, takma adlı müşteri kimliğinin hash’i
countryHamİki harfli ISO 3166-1 ülke kodu (US vb.)
cityHamEn fazla 128 karakter; OpenAI boşluğu temizler, küçük harfe çevirir
zip_codeHamHarf, rakam, boşluk ya da tire; en fazla 32 karakter
ip_addressHamGeçerli IPv4 ya da IPv6 adresi
user_agentHamİstemciden gelen boş olmayan user-agent dizesi

Coğrafi alanlar, IP ve user-agent ham gönderilir; e-posta ve dış kimlik ise yalnızca hash’lenmiş biçimde iletilir.

Hash Kuralları

Hash’leme tek bir biçimi takip eder: hash’ler küçük harf, 64 karakter onaltılık dize olarak gönderilir1. E-posta için sıralama bellidir: önce boşluk temizlenir, sonra küçük harfe çevrilir, sonra SHA-256 alınır. Bu normalleştirme atlanırsa aynı kişinin iki farklı yazımı (JohnDoe@Example.com ve johndoe@example.com) farklı hash üretir ve eşleşme kaçar.

Ham e-posta adresleri, ham dış kimlikler, telefon numaraları ve telefon numarası hash’leri asla gönderilmez1. Telefonun hash’i bile kabul edilmez; bu alan tamamen kapsam dışıdır.

oppref ve opt_out

İki alan doğrudan gizlilikle ilgilidir1:

  • oppref: OpenAI’nin sağladığı gizlilik koruyan bir kimliktir. Pixel bunu landing sayfası URL’inden otomatik yakalar; Conversions API ise otomatik yakalamaz, elde varsa elle taşınır.
  • opt_out: true yapıldığında ilgili event gelecekteki kullanıcı seviyesinde kişiselleştirmenin dışında tutulur. Varsayılan değer olarak false alır.

opt_out, kullanıcı tercihini event seviyesinde taşımanın yoludur: onay durumuna göre bu alanı true göndermek, dönüşümü ölçüme dahil ederken kişiselleştirme dışında tutar.

Hash’leme Anonimleştirme Değildir

Burada sık yapılan bir kavram hatası var. SHA-256 ile hash’lemek e-postayı okunamaz hale getirir, ama veriyi anonim yapmaz. Aynı e-posta her zaman aynı hash’i ürettiği için hash, kullanıcıyı kaynaklar arasında eşleştirmeye yarayan kararlı bir tanımlayıcıdır; KVKK ve GDPR çerçevesinde bu, anonim değil pseudonymous (takma adlı) veridir. Pratik sonuç: kişisel veri rejimi devam eder, yani hukuki dayanak, aydınlatma ve saklama yükümlülükleri hash’lemeyle ortadan kalkmaz.

Bu, kimlik alanlarını göndermeyi engelleyen bir şey değil; yalnızca “hash’lendi, artık kişisel veri değil” varsayımının yanlış olduğunu söyleyen bir uyarıdır.

Gizlilik dostu tasarım, muafiyet değil

OpenAI Ads’in hash temelli kimlik modeli, ham PII’yi platforma göndermeden eşleştirme yapmayı amaçlar ve bu iyi bir varsayılan. Ancak gizlilik dostu tasarım, hukuki yükümlülükten muafiyet anlamına gelmez. Hangi alanların hangi hukuki dayanakla gönderileceği, kurulumdan bağımsız ayrı bir değerlendirmedir.

Sonraki Adımlar

Kimlik alanları ve gizlilik kuralları netleştiğinde, sıra bu alanların pixel ve Conversions API üzerinde pratikte nasıl gönderileceğine ve diğer platformların kimlik modelleriyle nasıl karşılaştırıldığına gelir. Hash temelli eşleştirme, OpenAI Ads’e özgü değil; Meta ve Google tarafında da benzer bir mantık işler.

Footnotes

  1. Conversions API (OpenAI Developers)user nesnesi alanları ve hash gereklilikleri (email_sha256 “SHA-256 hash of the email address after trimming whitespace and converting it to lowercase”; external_id_sha256; country/city/zip_code/ip_address/user_agent ham), hash biçimi (“Send hashes as lowercase, 64-character hexadecimal strings.”), ham veri yasağı (“Don’t send raw email addresses, raw external IDs, phone numbers, or phone number hashes.”), coğrafi/IP/user-agent ham (“Send the geographic, IP address, and user agent fields as raw values.”), oppref (“OpenAI-provided privacy-preserving identifier”, Conversions API’de otomatik yakalanmaz), opt_out (“Set to true to opt out the event from future user-level personalization. Defaults to false.”). 2 3 4
Önemli Noktalar
  • 01 Kimlik eşleştirme alanları event içindeki user nesnesinde taşınır; hepsi opsiyonel, yalnızca elde olan gönderilir.
  • 02 E-posta ve dış kimlik SHA-256 ile hash'lenir, küçük harf 64 karakter onaltılık dize olarak gönderilir; ham e-posta, dış kimlik ve telefon asla gönderilmez.
  • 03 Coğrafi bilgi (country, city, zip_code), IP ve user-agent ham gönderilir, hash'lenmez.
  • 04 oppref OpenAI'nin sağladığı gizlilik koruyan kimliktir; pixel otomatik yakalar, Conversions API'de elle taşınır. opt_out true event'i kişiselleştirme dışı bırakır (varsayılan false).
  • 05 Hash'leme kimliği maskeler ama KVKK/GDPR açısından veri anonim değil pseudonymous sayılır; kişisel veri rejimi devam eder.
Sık Sorulan Sorular (FAQ)
+ OpenAI Ads kimlik eşleştirmede hangi alanları kullanır?

Event içindeki user nesnesi şu alanları taşıyabilir: email_sha256, external_id_sha256, country, city, zip_code, ip_address ve user_agent. Hepsi opsiyoneldir; yalnızca elde olan gönderilir. E-posta ve dış kimlik hash'lenir; coğrafi alanlar, IP ve user-agent ham gönderilir.

+ E-posta nasıl hash'lenir?

E-posta, boşlukları temizlenip küçük harfe çevrildikten sonra SHA-256 ile hash'lenir ve küçük harf, 64 karakter onaltılık dize olarak gönderilir. Ham e-posta hiçbir zaman gönderilmez; aynı kural ham dış kimlik, telefon numarası ve telefon hash'i için de geçerlidir.

+ oppref ve opt_out ne işe yarar?

oppref, OpenAI'nin sağladığı gizlilik koruyan bir kimliktir; pixel onu otomatik yakalar, Conversions API'de ise elle taşınır. opt_out alanı true yapıldığında ilgili event gelecekteki kullanıcı seviyesinde kişiselleştirmenin dışında tutulur; varsayılan değeri false'tur.

+ Hash'lenmiş e-posta KVKK ve GDPR açısından kişisel veri midir?

SHA-256 hash'leme kimliği maskeler ama veriyi anonim hale getirmez. KVKK ve GDPR çerçevesinde hash'lenmiş tanımlayıcı genellikle pseudonymous (takma adlı) veri sayılır ve kişisel veri rejimi devam eder. Bu, hukuki dayanak ve aydınlatma yükümlülüklerinin hash'lemeyle ortadan kalkmadığı anlamına gelir.

analytics

İLGİLİ

analytics

OpenAI Ads Event Taksonomisi: Hangi Event Ne Zaman, Hangi Veri Şekliyle

OpenAI Ads on bir standart event ve dört veri şekli (contents, customer_action, plan_enrollment, custom) tanımlar. Her event belirli bir şekle bağlıdır: order_created ve checkout_started contents, lead_created customer_action, subscription_created plan_enrollment kullanır. Bu referans her event'in ne zaman gönderileceğini ve şekillerin alanlarını listeler.

15.06.2026
analytics

OpenAI Ads'te Dedup: Aynı Dönüşümü İki Kez Saymamak

Pixel ve Conversions API aynı dönüşümü gönderdiğinde çift sayım oluşur. OpenAI Ads bunu Pixel ID, event adı ve event_id üçlüsüyle tekilleştirir: pixel'deki event_id ile sunucudaki id aynı değerde tutulur. Bu yazı kararlı bir event_id üretmeyi, iki tarafta eşleştirmeyi ve sık yapılan hataları gösterir.

13.06.2026
analytics

Conversions API ile Sunucu Taraflı Dönüşüm Gönderme: OpenAI Ads Rehberi

OpenAI Ads Conversions API, dönüşüm olaylarını sunucudan sunucuya gönderir: Pixel ID ve API anahtarıyla bzr.openai.com/v1/events uç noktasına POST. Bu rehber istek yapısını, event alanlarını ve zorunlu kuralları, batch davranışını, validate_only ile testi ve pixel ile dedup'ı gösterir.

11.06.2026