Законно или не законно - не нам решать ) Надо будет - посадят. Дело открывать без веских улик и причин не будут, имхо. Зато возникает вопрос, какие логи хранит пров? Запросы по HTTP? Или дамп всего трафика по всем портам? А не могут. Стоит подключиться по SSL - и пров ничего не видит. Стоит подключиться по SOCK4/5, и пров молчит. Стоит придумать свой протокол, не совместимый с популярными, и через него работать - и пров опять же будет молчать. Если у него сохраняются логи коннектов а-ля
SOURCE_IP:PORT - DESTINATION_IP:PORT
То это лечится проксиком. Если при этом пров обрабатывает допустим HTTP протокол - то выручают альтернативные протоколы с соксами...
А вообще... Я сочуствую провам, ведущим логи по ed2k-подобным файлообменным сетям
Особенно в случае ведения логов по коннектам айпишников.