провайдеры всегда хранят низкоуровневые логи соединений и данные о количестве переданного трафика. Почти всегда провы хранят информацию о протоколах.

Можно это представить как таблицу, где каждая запись являет собой сессию, а столбцы следующие: идентификатор клиента, дата инициализации коннекта, айпи клиента, айпи назначения, количество данных загружено и передано, протокол (транспортный).

Но потенциально, провайдеры еще могут дампить весь трафик полностью и распознавать протоколы так же и высших уровней (вплоть до Application Layer), а если они доходят до седьмого уровня, то часто имеют доступ к самим данным, а, точнее, могут на лету парсить их (если они не шифрованы, конечно).

Правда, дампить и разбирать трафик до высокоуровневых протоколов очень ресурсозатратно, посему я очень сомневаюсь, что без специальных команд кто-то будет этим заниматься по широким массам. Ни в странах третьего мира, ни в развитых странах.

Кстати, в развитых странах это было бы нарушение Privacy, за что можно очень сильно по сусалам получить и любое доказательство, добытое таким образом не будет котироваться. Даже если оно железнейше доказывает вашу вину. Нужно получать ордер в прокуратуре, а там без хорошей причины ордер никогда не выдадут, ибо тоже жопой дорожат, а то еще проверят кого-то невиновного, а он жалобку напишет, или в суд подаст за то, что у него время забрали. А суд в развитых странах всегда изначально на стороне человека, а не государства. В общем, система работает.